Our Approach

Definitive Guide to Ransomware

Gehackt door SilverFish?

Snel handelen is cruciaal om verdere schade en omzetverlies te voorkomen. Ook bij twijfel kunnen wij u duidelijkheid verschaffen, over de modus operandi, de motivaties en de rol van deze aanvaller in het cybercrime ecosysteem.

Bel direct onze 24/7 Incident Response Hotline:

Bel 070 - 222 0000

Contactformulier

Profiel

  • Actor: SilverFish
  • Afkomstig: Voormalige Sovjet-landen / Rusland
  • Motivatie: Financieel
  • Sectoren: Slachtoffers in onder meer overheids-, educatie-, IT- en hospitality-sector
  • Methode: Fake anti-virus & drive by downloads
  • Typering: Geavanceerd, focus op verkrijgen initiële foothold in een netwerk
  • Urgentie: Hoog, dreiging van ransomware-uitrol na doorverkoop initiële foothold
  • Risiconiveau: Hoog, ransomware dreiging vanwege relatie met onder meer EvilCorp en focus moet zijn verwijderen van persistence binnen geïnfecteerde infrastructuur.

Wat is SilverFish?

Naar aanleiding van een publicatie van Prodaft over een aanvaller, aangeduid met de naam SilverFish, zijn diverse organisatie in binnen- en buitenland geïnformeerd door (nationale) CERTs over dat ze gehacked zijn door desbetreffende groep.

Het initieel meest in het oog springende detail aan deze publicatie, is dat het een actor betreft die een relatie heeft met de SolarWinds hacks. De aanvaller achter de SolarWinds hack, genaamd UNC2452, zou in 2020 gebruik zou hebben gemaakt van een IP-adres, wat ook gebruikt is door SilverFish. UNC2452 is verantwoordelijk voor het grootschalig hacken van een variëteit aan organisatie — waaronder meerdere overheidsorganisaties — en wordt geattribueerd aan de Russische overheid als aanvaller.

Ondanks deze vermeende link, acht Hunt & Hackett het niet aannemelijk dat Silverfish en UNC2452 dezelfde actor betreft, dan wel aan elkaar gelieerd zijn. Het moment waarop beide groeperingen het IP-adres in gebruik hadden betreft verschillende periodes. Daarbij wordt in beide periodes ook andere software en software-versies gebruikt op het systeem achter dit IP-adres. Verder zijn de infectieaantallen ten aanzien van de slachtoffers erg hoog voor een statelijke actor die het gericht heeft op specifieke organisaties.

Andere security researchers bevestigingen dit beeld en geven aan dat het hier een groep betreft met een focus op het initieel ongericht en grootschalig infecteren van computers via drive-by aanvallen. De drive-by aanvallen werken vaak via gehackte websites, die bezoekers een melding geven dat hun anti-virus software geupdate moet worden, waarna de bezoeker overgehaald wordt om kwaadaardige software te installeren. Na het infecteren van de eerste computer (initial foothold) loopt deze groep fijnmaziger door de lijst met slachtoffers heen en verkoopt de interessante slachtoffers door aan onder meer groepen zoals EvilCorp. EvilCorp heeft in het verleden laten zien gebruik te maken van diensten van deze groep, om vervolgens targeted ransomware, zoals bijvoorbeeld WastedLocker (inmiddels niet meer in gebruik) uit te rollen in een netwerk. Gezien het vermoedelijke financiële oogmerk van deze actor en relaties met groepen als EvilCorp is het raadzaam om diepgaand onderzoek te doen, gezien het potentiele risico op uitrol van ransomware.