Cybercriminelen die ransomware inzetten, maken steeds vaker gebruik van legitieme, al aanwezige tools en cloudservice-clients om data te stelen. Dit bemoeilijkt het detecteren van datadiefstal, omdat traditionele indicatoren van compromittering en blokkades op basis van specifieke tools minder effectief zijn.

Het Exfiltration Framework, ontwikkeld door Cisco Talos, analyseert systematisch het gedrag en de forensische kenmerken van deze tools, ongeacht het besturingssysteem of de infrastructuur. Door onder meer de uitvoeringcontext, ouder-kind procesrelaties, netwerkcommunicatie en bestandsopslag te modelleren, worden signalen zichtbaar die stabiel blijven, zelfs als tools worden hernoemd of binnen vertrouwde omgevingen worden gebruikt. De studie benadrukt dat betrouwbare detectie alleen mogelijk is door correlatie van telemetrie van endpoints, netwerken en cloudomgevingen, met focus op gedragsbaselining, contextuele afwijkingen en cumulatieve dataoverdracht in plaats van alleen protocol- of allowlist-controles.

De verschuiving van aangepaste malware naar het misbruiken van standaard bedrijfssoftware en cloudopslag maakt het onderscheid tussen legitiem gebruik en kwaadwillig gedrag subtiel en complex. Aanvallers gebruiken bijvoorbeeld cloud command-line interfaces, synchronisatietools en beheerde bestandsoverdrachtplatformen om data buiten het netwerk te krijgen zonder traditionele beveiligingswaarschuwingen te triggeren. Het onderzoek richt zich op het identificeren van detectiesignalen die niet afhankelijk zijn van de aanwezigheid van specifieke tools, maar van het gedrag dat deze tools vertonen bij datadiefstal.