Computable.be
  • Thema’s
    • Security & Awareness
    • Cloud & Infrastructuur
    • Data & AI
    • Software Innovation
  • Computable Awards
    • Nieuws Computable Awards
    • Hall of Fame
  • Cybersec e-Magazine
  • Kennisbank
  • Inlog
  • Nieuwsbrief

De opmars van ‘living-off-the-land’ in cybercrime

16 januari 2024 - 13:55AchtergrondSecurity & AwarenessPalo Alto Networks
William Visterin

In de wereld van cybercriminaliteit wint de zogenaamde ‘living-off-the-land’-tactiek danig aan populariteit. Daarbij misbruiken criminelen legitieme toepassingen. Hun activiteit is daardoor moeilijk op te sporen.

Het is de befaamde en opkomende ransomwaregroep Medusa die befaamd is om zijn ‘living-off-the-land’-technieken. Medusa zag het licht ergens eind 2022. Als berucht ransomware-as-a-service-collectief klom het snel in de rangen van de cybercriminele onderwereld, voornamelijk door slachtoffers te maken onder Windows-gebruikers.

Bij living-off-the-land-aanvallen gebruiken criminelen bestaande programma’s (zoals wachtwoordbeheerders) op de toestellen van de slachtoffers om aanvallen uit te voeren, in plaats van externe kwaadaardige software te laten installeren. Dit type aanval is niet alleen veel moeilijker te detecteren. Zo kunnen cybercriminelen vaak maanden ongemerkt op de toestellen van hun slachtoffers vertoeven.

Anderzijds is het ook moeilijk om er iets tegen te beginnen, omdat je dan net de werking van die legitieme toepassingen kan verstoren. Living-off-the-land (lotl) is op zich niet nieuw, maar vooral het voorbije jaar ging er veel aandacht naartoe. De term op zich verwijst naar het fenomeen waarbij je moet overleven met wat je in de natuur te pakken kunt krijgen.

Lotl-aanvallen maken met name ook gebruik van legitieme tools als PowerShell of WMI (Windows Management Instrumentation) en laten zo weinig of geen sporen achter. Om LotL-aanvallen tegen te gaan, gebruiken cybersecurityprofessionals vaak oplossingen op basis van gedragsanalyse. De technologie detecteert dan afwijkende programma- en gebruikersactiviteit: acties die kunnen duiden op een aanval die aan de gang is.

Afpersing

Het is onder meer Unit 42, de onderzoekstak van Palo Alto Network, die de living-off-the-land-trend ziet opkomen. En parallel daarmee een sterke professionalisering van de ransomewaregroep Medusa. In 2023 maakten deze cybercriminelen 74 slachtoffers, waarvan het merendeel in de VS en Europa. Het hackerscollectief lanceerde recent ook een nieuwe blog op het dark web, waar slachtoffers onder druk worden gezet om overstag te gaan en te betalen. Medusa heeft ook een Telegramkanaal gelanceerd waar vertrouwelijke bestanden van de bedrijven publiekelijk worden gedeeld met de volgers.

Op de website van de hackergroep kan je de naam van het slachtoffer, de prijs, de resterende tijd en het aantal bezoekers lezen. Tegen een fikse som kunnen ze de betalingstermijn bijvoorbeeld uitstellen of hun gegevens laten verwijderen van de website. Dat laatste kost gemiddeld 10.000 dollar.

Ook deze afpersingstechniek is volgens de onderzoekers van Unit 42 niet ongewoon. Meer zelfs: hij wordt steeds vaker toegepast om de druk op de getroffen bedrijven op te voeren.

Meer over

BesturingssystemenCybercrimePhishing

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Meer lezen

    ActueelCloud & Infrastructuur

    Orange bundelt b2b-krachten met security als troefkaart

    Data & AI

    Kan ai einde maken aan tekort aan vaardigheden in soc?

    ActueelSecurity & Awareness

    VanRoey zet met overname Group K in op Limburg

    ActueelGovernance & Privacy

    Tienduizenden Belgische sites overtreden European Accessibility Act

    ActueelCloud & Infrastructuur

    Kort: Cybercrimineel ligt op de loer in hoogseizoen, Proximus en Thales vernieuwen it bij Navo (en meer)

    ActueelInnovatie & Transformatie

    Onkraakbaar: België en Luxemburg delen eerste grensoverschrijdende quantumverbinding

    Geef een reactie Reactie annuleren

    Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Kennisbank
    • Computable Awards
    • Colofon
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Persberichten

    Contact

    • Contact
    • Nieuwsbrief

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.be is een product van Jaarbeurs