Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.
Deze houding resulteerde in het vierde kwartaal van 2020 met een aanzienlijke daling van de gemiddelde losgeldbetalingen in vergelijking met het voorgaande kwartaal, zegt het ransomware-herstelbedrijf 'Coveware'.
Gegevens vernietigd
Maar een meer verraderlijk fenomeen is het vernietigen van gegevens, waarbij gegevens tijdens de aanval worden vernietigd waardoor bedrijven geen optie hebben om deze te herstellen zelfs als ze het losgeld betalen.
In het laatste kwartaal van 2020 zag Coveware een toename van het aantal meldingen waarbij hele clusters van servers met data vernietigd werden door een ransomware-aanvallen.
Meestal richten ransomware-aanvallen zich op back-upsystemen en versleutelen ze de machines. In deze gevallen viel er echter niets te herstellen en moesten de slachtoffers de systemen opnieuw opbouwen.
Aanvallers doen dit niet opzettelijk aangezien ze erop vertrouwen dat de bestanden versleuteld beschikbaar achter blijven want anders zouden de slachtoffers geen reden hebben om te betalen voor de decoderingstool.
"De toename van lukrake gegevensvernietiging heeft ertoe geleid dat sommige slachtoffers aanzienlijk gegevensverlies hebben geleden en hun bedrijfsonderbreking hebben verlengd terwijl ze worstelen om systemen helemaal opnieuw op te bouwen" aldus Coveware.
Deze incidenten kunnen het gevolg zijn van het feit dat minder bekwame aanvallers de aanval verpesten. Coveware sluit niet uit dat dit een trend is die zich dit jaar zou kunnen voortzetten.
Als de bovenstaande theorieën waar zijn kunnen de verkeerd afgehandelde aanvallen het werk zijn van nieuwelingen die gebruik maken van open ransomware-as-a-service (RaaS) diensten waarbij er geen acceptatie norm vereist wordt. Of het zijn cybercriminelen die overstappen naar aanvallen met ransomware zonder hulp van ervaren ransomware bendes.
Betalen of we lekken
Het bedreigen van slachtoffers met het lekken van gestolen gegevens om hen onder druk te zetten om te betalen is een wending die de nu reeds gestopte Maze-ransomware bende eind 2019 introduceerde.
Andere bendes in de ransomware business die het potentieel zagen voor hogere winsten van deze dubbele afpersingstactiek volgden dit voorbeeld en zetten zogenaamde 'leksites' op waar ze gegevens publiceren die waren gestolen van slachtoffers die het losgeld niet betaalden.
Zonder garantie dan enkel het woord van de aanvaller dat de gestolen gegevens niet zouden worden gepubliceerd stortten de getroffen bedrijven zich in het onderhandelden met de cybercriminelen en hoopten ze dat de cybercriminelen hun woord hielden na het betalen van het losgeld.
Uit de statistieken van Coveware lijkt het erop dat deze methode een deel van zijn kracht heeft verloren, aangezien de gemiddelde vraag naar losgeld met 34% daalde in het vierde kwartaal van 2020. Omgerekend in contanten is het een daling van $ 233.817 naar $ 154.108.
Kijkend naar de mediaanwaarde is de daling groter, namelijk 55% van $ 110.532 naar $ 49.450. Coveware zegt hierop dat deze "daling wordt toegeschreven aan het feit dat meer slachtoffers waarbij gegevens zijn buit gemaakt ervoor kozen niet te betalen."
Daar in tegen steeg het aantal ransomware-aanvallen in het vierde kwartaal samen met het dreiging van het lekken van gestolen gegevens, van 50% tot 70%.
Bedrijven hebben gelijk als ze hackers niet vertrouwen in het verwijderen van de gestolen gegevens als ze worden betaald, aangezien Coveware tekenen blijft zien dat dit niet in alle gevallen gebeurt.
Sterker nog, sommige bendes liegen over het exfiltreren van gegevens en verzinnen 'bewijs' alleen maar om de druk van een datalek op het slachtoffer te vergroten en een betaling af te dwingen.
Advies
Coveware raadt slachtoffers van ransomware aan om de hackers niet te betalen. Als ze dat doen, is er geen garantie dat hun gegevens veilig zijn, en kunnen ze onderstaande punten mogelijk verwachten:
- De gegevens worden mogelijk niet op geloofwaardige wijze vernietigd door de cybercriminelen. Slachtoffers moeten aannemen dat het kan worden verhandeld, verkocht, misplaatst of vastgehouden voor een tweede / toekomstige afpersingspoging.
- De bewaring van gestolen gegevens werd door meerdere partijen gehouden en was niet beveiligd. Zelfs als de dreigingsacteur na een betaling een hoeveelheid gegevens verwijdert, kunnen andere partijen die er toegang toe hadden, kopieën hebben gemaakt, zodat ze het slachtoffer in de toekomst kunnen afpersen.
- De gegevens kunnen sowieso opzettelijk of per abuis worden gepubliceerd voordat een slachtoffer zelfs maar kan reageren op een afpersingspoging.
- Volledige records van wat er is gestolen worden mogelijk niet door de cybercriminelen geleverd, zelfs als deze expliciet beloven dergelijke gegevens na betaling te verstrekken.
Hoewel het gemiddelde aantal losgeld betalingen is afgenomen in de afgelopen vier maanden, blijven spraakmakende ransomware-operators veel geld ontvreemden van zorgvuldig geselecteerde slachtoffers.
De top 10 ransomware type aanvallen
Volgens statistieken van Coveware domineren RaaS-operaties zoals Sodinokibi( REvil), Egregor en Ryuk het marktaandeel, waarbij bedrijven door phishing en gehackte RDP-verbindingen slachtoffer werden van ransomware.
Nieuwe soorten ransomware hebben eind vorig jaar de top tien van Coveware bereikt, zoals Conti, Suncrypt, Zeppelin, MedusaLocker. Sommigen van hen zullen zeer waarschijnlijk de activiteit binnenkort verhogen.
| Ransomware type | Marktaandeel | |
|---|---|---|
| 1 | Sodinokibi (REvil) | 17,5% |
| 2 | Egregor | 12.3 % |
| 3 | Ryuk | 8,7 % |
| 4 | Netwalker | 6,0% |
| 5 | Maze | 5.2% |
| 6 | Conti versie 2 | 4,8% |
| 7 | DopplePaymer | 4.0% |
| 8 | Conti | 2,4% |
| 8 | Suncrypt | 2,4% |
| 8 | Zeppelin | 2,4% |
| 9 | Avaddon | 2,0% |
| 9 | Phobos | 2,0% |
| 9 | Nephilim | 2,0% |
| 9 | MedusaLocker | 2,0% |
| 9 | Locbit | 2,0% |
| 10 | Globelmposter 2.0 | 1,6% |
Top 10: marktaandeel van de ransomware-aanvallen
Meer informatie over nieuwe vormen en varianten van ransomware kun je lezen in ons wekelijks ransomware overzicht die elke maandag op cybercrimeinfo wordt gepubliceerd.
Bron: coveware.com, bleepingcomputer.com
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
“We eisen 1 miljoen euro voor de decoderingssleutel”
English | Français | Deutsche | Español | Meer talen
Geen tweestapsverificatie oorzaak hack gemeente Buren
English | Français | Deutsche | Español | Meer talen
Een cyberaanval is geen storing!
English | Français | Deutsche | Español | Meer talen
‘Het harde uitgangspunt om nooit te betalen is gevaarlijk. Als de situatie erom vraagt kun je dat soms beter wel doen’
Ransomware, kwaadaardig software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Dat klinkt stoer, maar blijkt een gevaarlijke strategie. Sinds een recente aanval op de gemeente Buren liggen van inwoners financiële gegevens, en informatie over drugs- en psychische problemen, op straat.
Bedrijven zijn aan de verliezende hand in de strijd tegen ransomware-aanvallers
Bedrijven zijn aan de verliezende hand in de strijd tegen ransomware-aanvallers als het gaat om het beschermen van hun gegevens. Uit het Veeam 2022 Ransomware Trends Report blijkt dat 72 procent van de organisaties te maken heeft gehad met gedeeltelijke of complete aanvallen op hun back-up repositories.
Verkenningsonderzoek naar ransomware-aanvallen bij Nederlandse overheidsdiensten en bedrijven
Het Centraal Bureau voor de Statistiek (CBS) heeft in samenwerking met het Nationaal Cyber Security Centrum (NCSC) verkenningsonderzoek gedaan naar ransomware-aanvallen bij Nederlandse overheidsdiensten en bedrijven. De onderzoekers keken onder meer naar de tijdslijn en kosten van aanvallen met gijzelsoftware. Vanwege de gevoeligheid van de verzamelde data, is het rapport niet online gepubliceerd. Dat schrijft het CBS in een persbericht.
Cyberciminelen eisen 15 miljoen euro van woningcorporaties
Eind maart vielen hackers negen woningcorporaties aan. De daders eisen losgeld, in totaal 15 miljoen euro, om de buitgemaakte gegevens niet openbaar te maken. De verhuurders zeggen contact te hebben gehad met de daders en dat ze geen losgeld gaan betalen.
“Rebound”-aanvallen en de opkomst van een nieuw bedrijfsmodel zorgt voor een zeer sterke toename van ransomware-aanvallen
Ransomware-aanvallen zijn de afgelopen jaren qua aantallen en intensiteit toegenomen. In 2021 werden steeds meer bedrijven doelwit en de verwachting is dat dit in 2022 alleen nog maar verder zal oplopen.
Stijging van 82 procent in aantal ransomware-gerelateerde datalekken
CrowdStrike publiceerde de resultaten van het 2022 CrowdStrike Global Threat Report (GTR). Hieruit blijkt dat er sprake is van een toename van maar liefst 82 procent in het aantal ransomware-gerelateerde datalekken. Het totale aantal in 2021 ligt op 2.686, in 2020 lag dit nog op 1.474. Deze stijging, in combinatie met de toename van andere datalekken, weerspiegelt de toenemende waarde die cybercriminelen hechten aan de gegevens van slachtoffers.
Cybercriminelen richten zich op zero-day kwetsbaarheden en supply chain netwerken voor maximale impact
Vorige week verscheen het 'Ransomware Spotlight Year End Report' van Ivanti. Het rapport identificeerde 32 nieuwe ransomwarefamilies in 2021, waarmee het totaal op 157 komt, een toename van 26 procent ten opzichte van het voorgaande jaar.
Game Mania slachtoffer ransomware aanval
Game Mania is deze week getroffen door een aanval met gijzelsoftware. De daders slaagden erin om toegang te krijgen tot persoonsgegevens van klanten. Er zijn geen wachtwoorden of betaalgegevens buitgemaakt. Het voorval is gemeld bij de nationale toezichthouder in Nederland en België.
73 procent van de Nederlandse bedrijven zijn de afgelopen twaalf maanden eens of meermalen slachtoffer geweest van ransomware
Slachtoffers van gijzelsoftware betalen gemiddeld 1,8 miljoen dollar aan criminele hackers. Daarna worden ze vaak opnieuw afgeperst.