In de wereld van cybercriminaliteit wint de zogenaamde ‘living-off-the-land’-tactiek danig aan populariteit. Daarbij misbruiken criminelen legitieme toepassingen. Hun activiteit is daardoor moeilijk op te sporen.
Het is de befaamde en opkomende ransomwaregroep Medusa die befaamd is om zijn ‘living-off-the-land’-technieken. Medusa zag het licht ergens eind 2022. Als berucht ransomware-as-a-service-collectief klom het snel in de rangen van de cybercriminele onderwereld, voornamelijk door slachtoffers te maken onder Windows-gebruikers.
Bij living-off-the-land-aanvallen gebruiken criminelen bestaande programma’s (zoals wachtwoordbeheerders) op de toestellen van de slachtoffers om aanvallen uit te voeren, in plaats van externe kwaadaardige software te laten installeren. Dit type aanval is niet alleen veel moeilijker te detecteren. Zo kunnen cybercriminelen vaak maanden ongemerkt op de toestellen van hun slachtoffers vertoeven.
Anderzijds is het ook moeilijk om er iets tegen te beginnen, omdat je dan net de werking van die legitieme toepassingen kan verstoren. Living-off-the-land (lotl) is op zich niet nieuw, maar vooral het voorbije jaar ging er veel aandacht naartoe. De term op zich verwijst naar het fenomeen waarbij je moet overleven met wat je in de natuur te pakken kunt krijgen.
Lotl-aanvallen maken met name ook gebruik van legitieme tools als PowerShell of WMI (Windows Management Instrumentation) en laten zo weinig of geen sporen achter. Om LotL-aanvallen tegen te gaan, gebruiken cybersecurityprofessionals vaak oplossingen op basis van gedragsanalyse. De technologie detecteert dan afwijkende programma- en gebruikersactiviteit: acties die kunnen duiden op een aanval die aan de gang is.
Afpersing
Het is onder meer Unit 42, de onderzoekstak van Palo Alto Networks, die de living-off-the-land-trend ziet opkomen. En parallel daarmee een sterke professionalisering van de ransomewaregroep Medusa. In 2023 maakten deze cybercriminelen 74 slachtoffers, waarvan het merendeel in de VS en Europa. Het hackerscollectief lanceerde recent ook een nieuwe blog op het dark web, waar slachtoffers onder druk worden gezet om overstag te gaan en te betalen. Medusa heeft ook een Telegramkanaal gelanceerd waar vertrouwelijke bestanden van de bedrijven publiekelijk worden gedeeld met de volgers.
Op de website van de hackergroep kan je de naam van het slachtoffer, de prijs, de resterende tijd en het aantal bezoekers lezen. Tegen een fikse som kunnen ze de betalingstermijn bijvoorbeeld uitstellen of hun gegevens laten verwijderen van de website. Dat laatste kost gemiddeld 10.000 dollar.
Ook deze afpersingstechniek is volgens de onderzoekers van Unit 42 niet ongewoon. Meer zelfs: hij wordt steeds vaker toegepast om de druk op de getroffen bedrijven op te voeren.