Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.
Deze houding resulteerde in het vierde kwartaal van 2020 met een aanzienlijke daling van de gemiddelde losgeldbetalingen in vergelijking met het voorgaande kwartaal, zegt het ransomware-herstelbedrijf 'Coveware'.
Gegevens vernietigd
Maar een meer verraderlijk fenomeen is het vernietigen van gegevens, waarbij gegevens tijdens de aanval worden vernietigd waardoor bedrijven geen optie hebben om deze te herstellen zelfs als ze het losgeld betalen.
In het laatste kwartaal van 2020 zag Coveware een toename van het aantal meldingen waarbij hele clusters van servers met data vernietigd werden door een ransomware-aanvallen.
Meestal richten ransomware-aanvallen zich op back-upsystemen en versleutelen ze de machines. In deze gevallen viel er echter niets te herstellen en moesten de slachtoffers de systemen opnieuw opbouwen.
Aanvallers doen dit niet opzettelijk aangezien ze erop vertrouwen dat de bestanden versleuteld beschikbaar achter blijven want anders zouden de slachtoffers geen reden hebben om te betalen voor de decoderingstool.
"De toename van lukrake gegevensvernietiging heeft ertoe geleid dat sommige slachtoffers aanzienlijk gegevensverlies hebben geleden en hun bedrijfsonderbreking hebben verlengd terwijl ze worstelen om systemen helemaal opnieuw op te bouwen" aldus Coveware.
Deze incidenten kunnen het gevolg zijn van het feit dat minder bekwame aanvallers de aanval verpesten. Coveware sluit niet uit dat dit een trend is die zich dit jaar zou kunnen voortzetten.
Als de bovenstaande theorieën waar zijn kunnen de verkeerd afgehandelde aanvallen het werk zijn van nieuwelingen die gebruik maken van open ransomware-as-a-service (RaaS) diensten waarbij er geen acceptatie norm vereist wordt. Of het zijn cybercriminelen die overstappen naar aanvallen met ransomware zonder hulp van ervaren ransomware bendes.
Betalen of we lekken
Het bedreigen van slachtoffers met het lekken van gestolen gegevens om hen onder druk te zetten om te betalen is een wending die de nu reeds gestopte Maze-ransomware bende eind 2019 introduceerde.
Andere bendes in de ransomware business die het potentieel zagen voor hogere winsten van deze dubbele afpersingstactiek volgden dit voorbeeld en zetten zogenaamde 'leksites' op waar ze gegevens publiceren die waren gestolen van slachtoffers die het losgeld niet betaalden.
Zonder garantie dan enkel het woord van de aanvaller dat de gestolen gegevens niet zouden worden gepubliceerd stortten de getroffen bedrijven zich in het onderhandelden met de cybercriminelen en hoopten ze dat de cybercriminelen hun woord hielden na het betalen van het losgeld.
Uit de statistieken van Coveware lijkt het erop dat deze methode een deel van zijn kracht heeft verloren, aangezien de gemiddelde vraag naar losgeld met 34% daalde in het vierde kwartaal van 2020. Omgerekend in contanten is het een daling van $ 233.817 naar $ 154.108.
Kijkend naar de mediaanwaarde is de daling groter, namelijk 55% van $ 110.532 naar $ 49.450. Coveware zegt hierop dat deze "daling wordt toegeschreven aan het feit dat meer slachtoffers waarbij gegevens zijn buit gemaakt ervoor kozen niet te betalen."
Daar in tegen steeg het aantal ransomware-aanvallen in het vierde kwartaal samen met het dreiging van het lekken van gestolen gegevens, van 50% tot 70%.
Bedrijven hebben gelijk als ze hackers niet vertrouwen in het verwijderen van de gestolen gegevens als ze worden betaald, aangezien Coveware tekenen blijft zien dat dit niet in alle gevallen gebeurt.
Sterker nog, sommige bendes liegen over het exfiltreren van gegevens en verzinnen 'bewijs' alleen maar om de druk van een datalek op het slachtoffer te vergroten en een betaling af te dwingen.
Advies
Coveware raadt slachtoffers van ransomware aan om de hackers niet te betalen. Als ze dat doen, is er geen garantie dat hun gegevens veilig zijn, en kunnen ze onderstaande punten mogelijk verwachten:
- De gegevens worden mogelijk niet op geloofwaardige wijze vernietigd door de cybercriminelen. Slachtoffers moeten aannemen dat het kan worden verhandeld, verkocht, misplaatst of vastgehouden voor een tweede / toekomstige afpersingspoging.
- De bewaring van gestolen gegevens werd door meerdere partijen gehouden en was niet beveiligd. Zelfs als de dreigingsacteur na een betaling een hoeveelheid gegevens verwijdert, kunnen andere partijen die er toegang toe hadden, kopieën hebben gemaakt, zodat ze het slachtoffer in de toekomst kunnen afpersen.
- De gegevens kunnen sowieso opzettelijk of per abuis worden gepubliceerd voordat een slachtoffer zelfs maar kan reageren op een afpersingspoging.
- Volledige records van wat er is gestolen worden mogelijk niet door de cybercriminelen geleverd, zelfs als deze expliciet beloven dergelijke gegevens na betaling te verstrekken.
Hoewel het gemiddelde aantal losgeld betalingen is afgenomen in de afgelopen vier maanden, blijven spraakmakende ransomware-operators veel geld ontvreemden van zorgvuldig geselecteerde slachtoffers.
De top 10 ransomware type aanvallen
Volgens statistieken van Coveware domineren RaaS-operaties zoals Sodinokibi( REvil), Egregor en Ryuk het marktaandeel, waarbij bedrijven door phishing en gehackte RDP-verbindingen slachtoffer werden van ransomware.
Nieuwe soorten ransomware hebben eind vorig jaar de top tien van Coveware bereikt, zoals Conti, Suncrypt, Zeppelin, MedusaLocker. Sommigen van hen zullen zeer waarschijnlijk de activiteit binnenkort verhogen.
| Ransomware type | Marktaandeel | |
|---|---|---|
| 1 | Sodinokibi (REvil) | 17,5% |
| 2 | Egregor | 12.3 % |
| 3 | Ryuk | 8,7 % |
| 4 | Netwalker | 6,0% |
| 5 | Maze | 5.2% |
| 6 | Conti versie 2 | 4,8% |
| 7 | DopplePaymer | 4.0% |
| 8 | Conti | 2,4% |
| 8 | Suncrypt | 2,4% |
| 8 | Zeppelin | 2,4% |
| 9 | Avaddon | 2,0% |
| 9 | Phobos | 2,0% |
| 9 | Nephilim | 2,0% |
| 9 | MedusaLocker | 2,0% |
| 9 | Locbit | 2,0% |
| 10 | Globelmposter 2.0 | 1,6% |
Top 10: marktaandeel van de ransomware-aanvallen
Meer informatie over nieuwe vormen en varianten van ransomware kun je lezen in ons wekelijks ransomware overzicht die elke maandag op cybercrimeinfo wordt gepubliceerd.
Bron: coveware.com, bleepingcomputer.com
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
"Bad guys sponsoren" Stelling: Ransomware moet uitgesloten worden van verzekeringsdekking
Nederlandse bedrijven sluiten wereldwijd de hoogste verzekeringen af tegen schade door ransomware-aanvallen. Gemiddeld zijn ze voor 5,77 miljoen euro gedekt voor gijzelsoftware. Dat is een hoger bedrag dan in de VS en Japan. Critici willen een verbod op de verzekeringen omdat ze naast de gevolgschade ook losgeld dekken. Daardoor houden ze het verdienmodel van cybercriminelen in stand, luidt de kritiek.
Verdwijning ransomware cybercriminelen 'REvil' een mysterie
De servers en websites van de aan Rusland gelieerde hackersgroep REvil gingen dinsdagavond Nederlandse tijd uit het niets op zwart. De beruchte hackersbende gebruikt diverse sites, voornamelijk op het darkweb, om met slachtoffers te onderhandelen over losgeld. Van het ene op het andere moment waren deze spontaan niet langer in de lucht.
Mandemakers groep: ‘ondanks adequate beveiliging’ toch slachtoffer
Keuken- en meubelverkoper De Mandemakers Groep (DMG) is het slachtoffer geworden van hackers. Zij slaagden erin om een groot deel van de IT-systemen te blokkeren. DMG heeft aangifte gedaan bij de politie en melding van het voorval gemaakt bij de Autoriteit Persoonsgegevens. Cybersecuritybedrijf Fox-IT helpt het bedrijf bij de afwikkeling van de aanval en het versterken van de beveiligingsmaatregelen.
Betaal je aan ransomware criminelen, dan komen ze bijna altijd terug
Ransomware-aanvallen blijven de krantenkoppen halen, en met goede reden: gemiddeld is er elke 11 seconden een nieuwe ransomware-aanval, en de verliezen voor organisaties door ransomware-aanvallen zullen naar verwachting oplopen tot $ 20 miljard in de loop van 2021, na een recordtoename van verliezen van meer dan 225% in 2020. Maar wat zijn de werkelijke kosten voor bedrijven die zijn getroffen door een ransomware-aanval?
11 miljoen, betalen aan cybercriminelen lijkt de norm!?
De Amerikaanse tak van vleesverwerker JBS bevestigt dat het 11 miljoen dollar heeft betaald aan hackers. Op deze manier wilde de grootste vleesproducent ter wereld het risico voor klanten verkleinen. Op het moment dat het bedrijf het losgeld aan de aanvallers betaalde, was het grootste deel van het productieproces al weer operationeel.
Cybercrime kartels flink in opmars
Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten. De winst die wordt gemaakt met losgeld operaties wordt vaak gebruikt om zowel tactieken als malware te bevorderen om hun succes te vergroten.
‘Zo'n 80% van de organisaties betaalt losgeld’
English | Français | Deutsche | Español | Meer talen
Cyber attack USA pipeline: "Ons doel is om geld te verdienen en geen problemen voor de samenleving te creëren"
Een grote Amerikaanse pijplijn is het doelwit geworden van cybercriminelen die ransomware hebben geïnstalleerd. Toen het bedrijf erachter kwam dat ze was aangevallen, heeft het direct een deel van de IT-systemen afgesloten en alle productieprocessen stopgezet. De overheid heeft een noodwet geïmplementeerd waardoor achttien staten nu tijdelijk via de weg olie mogen transporteren.
De gezondheidszorg wordt niet ontzien door cybercriminelen
Een cyberaanval op een kliniek of ziekenhuis is letterlijk een kwestie van leven of dood. In 2020 bezweken zorginstellingen over de hele wereld bijna onder de druk van de COVID-19-pandemie, en de acties van cybercriminelen droegen alleen maar aan de ellende bij. Een van de meest significante dreigingen voor zorginstellingen in het afgelopen jaar kwam van ransomware aanvallen .
Spear ransomware aanvallen neemt flink toe
Het aantal gerichte ransomware aanvallen die wordt gebruikt om high-profile doelwitten zoals bedrijven, overheidsinstellingen en gemeentelijke organisaties, geld af te persen is met 767% gestegen in de periode van 2019 tot 2020.
Door een ransomware aanval konden zo’n 250 vrachtwagens geen kant meer op
Door een ransomware aanval konden zo’n 250 vrachtwagens van transportbedrijf 'Bakker Logistiek' geen kant meer op. De andere helft kon nog wel rijden, maar dat was niet genoeg om alle supermarkten hun voorraad te brengen. Het gevolg? Een kaastekort in de Albert Heijn.
'Ransomware' is volwassen geworden en is 32 jaar
Als u de wereld van cybersecurity (informatiebeveiliging) een beetje volgt, hebt u de afgelopen jaren vast een hoop over ransomware (gijzelsoftware) gehoord. U kunt zelfs de pech hebben gehad dat u slachtoffer bent geweest van een ransomware aanval. Het is waarschijnlijk niet overdreven om ransomware als de gevaarlijkste malware van onze tijd te betitelen.