Neem contact op
Cyberaanvallen Ransomware

Moderne ransomware met obfuscated code en fileless attacks

Muhammed San
Placeholder for Muhammed SanMuhammed San

Muhammed San , SOC Analyst , Nomios Nederland

4 min. leestijd
Placeholder for Managed SOC security engineer - MSSPManaged SOC security engineer - MSSP

Share

Ransomware blijft een van de grootste bedreigingen voor organisaties. In 2025 worden aanvallen steeds geavanceerder, waarbij cybercriminelen vertrouwen op obfuscated code en fileless technieken om detectie te vermijden.

Dit artikel beschrijft deze methodes en de verdedigingsmaatregelen die organisaties kunnen nemen, met name via managed SOC-diensten zoals Managed Detection & Response.

Ransomware steeds slimmer en onzichtbaarder

Fileless attacks en obfuscatie technieken nemen toe en vormen nu een groot deel van de incidenten. Deze aanvallen omzeilen traditionele security-oplossingen die op signatures gebaseerd zijn, waardoor ze moeilijk te detecteren zijn. In 2023 gebruikte al 79% van de gerichte aanvallen “Living-off-the-Land” binaries, en deze trend zet door.

Aanvallers hebben traditionele, opvallende methodes geleidelijk los gelaten ten gunste van subtielere technieken die moeilijker te ontdekken zijn. Het doel blijft hetzelfde: data versleutelen en losgeld eisen, maar de methodes zijn aanzienlijk complexer geworden, waardoor geavanceerde detectiemogelijkheden nodig zijn.

Obfuscation technieken: Code verbergen in het zicht

Obfuscation is een kerntechniek in het arsenaal van ransomware-ontwikkelaars. Het maakt code expres moeilijk te lezen voor analisten of geautomatiseerde systemen, terwijl de kwaadaardige functionaliteit intact blijft.

Veelgebruikte obfuscation mechanismen zijn:

  • Base64 encoding: Code wordt omgezet naar ogenschijnlijk willekeurige tekens. Bijvoorbeeld een PowerShell-commando kan zo worden gecodeerd:

powershell.exe -e powershell.exe -EncodedCommand 
QQBkAGQALQBUAHkAcABlACAALQBBAHMAcwBlAG0AYgBsA
HkATgBhAG0AZQAgAFMAeQBzAHQAZQBtAC4AVwBpAG4AZA 
BvAHcAcwAuAEYAbwByAG0AcwANAAoAWwBTAHkAcwB0AG
UAbQAuAFcAaQBuAGQAbwB3AHMALgBGAG8AcgBtAHMALg
BNAGUAcwBzAGEAZwBlAEIAbwB4AF0AOgA6AFMAaABvAHc
AKAAiAE4AbwBtAGkAbwBzACAAbgBlACAAdgBvAHUAcwAgA
HIAZQBjAG8AbQBtAGEAbgBkAGUAIABwAGEAcwAgAGQAJwB
lAHgA6QBjAHUAdABlAHIAIABkAHUAIABjAG8AZABlACAAdA
ByAG8AdQB2AOkAIABzAHUAcgAgAEkAbgB0AGUAcgBuAGUAdA
AgAGMAbwBtAG0AZQAgAOcAYQAgADoAKQAiACwAIAAiAE4
AbwBtAGkAbwBzACAA6gB0AHIAZQAgAGwA4AAiACkA

Placeholder for OffuscatedOffuscated

Wanneer dit wordt uitgevoerd, opent het een venster met de melding: “Nomios recommends not executing code you find on the Internet without analysing it.”

  • XOR operations: Combineert elke byte van de code met een geheime sleutel. Dit kan meerdere keren worden toegepast en maakt de-obfuscatie complex voor analisten.
  • Dead code insertion: Voegt zinloze instructies toe om statische analyse te bemoeilijken.
  • Polymorphism: Wijzigt code automatisch bij elke uitvoering zonder functionaliteit te verliezen.

Deze technieken laten ransomware effectief traditionele, signature-based detectie omzeilen en maken forensisch onderzoek na een incident veel complexer. Bij Nomios kan de de-obfuscatie dagen in beslag nemen voor volledige teams, wat het belang van externe SOC-diensten onderstreept.

Fileless attacks: de onzichtbare dreiging

Fileless malware markeert een belangrijke verschuiving in ransomware-tactieken. In tegenstelling tot traditionele ransomware, die een uitvoerbaar bestand op schijf plaatst, draait fileless malware volledig in het geheugen en laat weinig tot geen sporen achter op het bestandssysteem.

Belangrijke kenmerken:

  • Gebruik van legitieme tools die al aanwezig zijn op het systeem (Living-off-the-Land)
  • Directe uitvoering in geheugen zonder schijfgebruik
  • Veelvuldig gebruik van PowerShell of het .NET framework
  • Persistentie via registry of scheduled tasks

Door gebruik te maken van native systeemtools zijn deze aanvallen moeilijk te detecteren voor traditionele, file-gebaseerde security-oplossingen. Volgens data van Halcyon.ai begin 2025 bepalen Living-off-the-Land technieken nu moderne ransomwarecampagnes, waardoor aanvallers hun digitale voetafdruk minimaliseren. Detectie vereist geavanceerde behavioural monitoring.

Het moderne aanvalproces: stapsgewijze uitvoering

Moderne ransomware-aanvallen zijn geen eenmalige acties meer. Ze volgen een methodisch proces, vaak verspreid over dagen of weken, om detectie te vermijden. Aanvallers verspreiden hun payload geleidelijk en blijven onopgemerkt tot de definitieve encryptiefase.

Typische stappen van een fileless attack:

  1. Initiële uitvoering: Base64-gecodeerde PowerShell-scripts, vaak via kwaadaardige documenten
  2. Persistentie vestigen: Scheduled tasks of registry-aanpassingen
  3. Interne reconnaissance: Netwerk in kaart brengen en high-value targets identificeren
  4. Lateral movement: Verspreiding via kwetsbaarheden of gecompromitteerde credentials
  5. Memory injection: Kwaadaardige code laden in legitieme processen
  6. Data exfiltratie: Gevoelige informatie stelen voor encryptie (double extortion)
  7. Definitieve uitvoering: Complete encryptie payload uitvoeren

Deze stapsgewijze aanpak vergroot het effect en verkleint de kans op vroege detectie. SOC-teams gebruiken geavanceerde event correlation om deze sequenties te identificeren en tijdig te reageren.

Strategisch gebruik van kwaadaardige DLLs

Kwaadaardige DLLs spelen een centrale rol in veel moderne ransomware-aanvallen. Vaak ontwikkeld in .NET, worden deze libraries obfuscated en direct in geheugen geladen. Hun belangrijkste functies zijn:

  • Aanroepen van system functions
  • Omzeilen van security mechanisms
  • Vergemakkelijken van lateral movement
  • Uitvoeren van encryptieroutines

Analyses van het Nomios SOC laten zien dat het reconstrueren van een kwaadaardige DLL meerdere dagen intensief werk kan vergen, zelfs voor ervaren experts. Bij een recent incident dat door het Nomios SOC werd geblokkeerd, bleek dat volledige reconstructie van een kwaadaardige DLL meerdere dagen forensisch onderzoek vergde, ook voor doorgewinterde specialisten.

Polymorphic ransomware

Polymorphic ransomware voegt nog een laag complexiteit toe. De code en signatures worden continu aangepast, waardoor elke infectie unieke varianten genereert. Technieken omvatten:

  • Code mutation tijdens uitvoering
  • Random code generation
  • Invoeging van onschadelijke instructies
  • Dynamische herorganisatie van functies

Dit maakt detectie door traditionele oplossingen vrijwel onmogelijk.

Verdedigingsstrategieën tegen geavanceerde ransomware

Effectieve verdediging vereist een gelaagde aanpak van technologie en expertise:

1. Behavioural detection verbeteren

  • EDR-oplossingen die gedrag analyseren, niet alleen signatures
  • Geavanceerde logging van PowerShell en scripts
  • Behavioural anomaly detection systemen

2. Aanvalsoppervlak beperken

  • Uitvoering van unsigned PowerShell-scripts beperken
  • Least privilege toepassen om laterale verspreiding te beperken
  • Netwerksegmentatie om infecties in te dammen

3. Digitale forensics versterken

  • Vaardigheden in volatile memory analysis ontwikkelen
  • Tools voor netwerktraffic capture en analyse implementeren
  • Incident response procedures specifiek voor fileless attacks opstellen

4. Moderne SOC integreren

  • 24/7 monitoring van infrastructuur
  • Behavioural analysis capabilities
  • Expertise in detectie van obfuscation en fileless attacks
  • Snelle incident response procedures

Ransomware die gebruikmaakt van obfuscation, fileless execution en polymorphic technieken wordt steeds moeilijker te detecteren en analyseren. De meest effectieve verdediging combineert geavanceerde SOC-technologie, ervaren analisten en een security cultuur die de hele organisatie omvat.

Expertinzichten

Ransomware die gebruikmaakt van obfuscated code en fileless attack-technieken vormt in 2025 een grote dreiging voor organisaties. De toenemende complexiteit, gecombineerd met polymorphic technieken, maakt detectie en analyse steeds moeilijker.

Voor analisten en cybersecuritymanagers is het essentieel om deze geavanceerde mechanismen te begrijpen om effectieve verdedigingsstrategieën te implementeren. Buiten technische oplossingen is het een voortdurende race van expertise tussen verdedigers en aanvallers.

Om deze steeds veranderende dreiging het hoofd te bieden, blijft de meest effectieve aanpak een combinatie van geavanceerde SOC-technologie, hooggekwalificeerde menselijke expertise en een securitycultuur die door de hele organisatie wordt gedragen.

Maak verbinding

Onze security experts staan voor je klaar

Ons team is beschikbaar voor een gesprek of videovergadering. Neem contact op om jouw beveiligingsuitdagingen te bespreken, aanbieders te vergelijken of om van gedachten te wisselen over jouw komende IT-projecten. Wij zijn er om jou te helpen.

Placeholder for Portrait of engineer beard wearing poloPortrait of engineer beard wearing polo
Artikelen

Meer updates

Placeholder for Young engineer datacenter roomYoung engineer datacenter room

Netwerkinfrastructuur

Waarom wifi-site surveys belangrijker zijn dan ooit

Betrouwbare wifi is tegenwoordig niet alleen handig, maar ook echt nodig op de werkplek. Als je signaal slecht is of je netwerk niet stabiel werkt, kan dat je productiviteit, samenwerking en belangrijke diensten in de weg staan.

Giulio Quartero
Placeholder for Giulio QuarteroGiulio Quartero

Giulio Quartero

2 min. leestijd
Placeholder for LondonLondon

Nomios breidt aanbod cybersecurity uit met de overname van Intragen

Nomios neemt Intragen over, een specialist in Identity and Access Management. De overname versterkt Nomios’ positie als Europese leider in cybersecurity.

6 min. leestijd
Placeholder for Headway jf R5wu2h MI0 unsplashHeadway jf R5wu2h MI0 unsplash

Netwerkbeheer Mist AI

Overbelast netwerkteam? 3 signalen dat het tijd is voor ondersteuning

IT-teams staan vaak onder druk. Maar liefst 85,8% van de organisaties kampt met een tekort aan gekwalificeerd IT-personeel. Dit personeelstekort, gecombineerd met de toenemende complexiteit van moderne netwerken, zorgt voor een werkdruk die blijft stijgen.

Michel Adelaar
Placeholder for Michel AdelaarMichel Adelaar

Michel Adelaar

7 min. leestijd
 Alle artikelen