Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.
Ransomware families
Een ransomware familie omvat alle ransomware, software die gegevens gijzelt voor geld, die afgeleid zijn van een (vaak) bekende technische werkwijze. Deze werkwijze wordt vervolgens vernoemd naar de groep die het ontwikkeld heeft. De meest veelvoorkomende ransomware families zijn volgens deze analyse gebaseerd op de GandCrab (78.5%), Babuk (7.61%) en Cerber (3.11%) ransomware.
Ransomware samples
Het onderzoek van VirusTotal is gebaseerd op ingestuurde ransomware samples uit 140 verschillende landen. Deze landen hebben gezamenlijk 80 miljoen samples ingediend, waarvan er ruim 1 miljoen door meerdere bronnen als ransomware zijn geïdentificeerd.
De analyse wijst uit dat er 130 ransomware families actief zijn die elkaar afwisselen in mate van populariteit. Hoe meer clusters er binnen een familie actief zijn, hoe breder de diversiteit van de gebruikte malware die op deze familie gebaseerd is. Ook gebruiken aanvallers uiteenlopende technieken, zoals botnet malware en Remote Access Trojans (RATs) om de ransomware bij hun doelwit te krijgen.
De meest veelvoorkomende ransomware familie is GandCrab (78.5%), op gepaste afstand gevolgd door Babuk, Cerber, Matsnu, Wannacry, Congur, Locky, Teslacrypt, Rkor, en Reveon. Ruim 95% van de geanalyseerde ransomware bestanden waren op Windows gericht, tegen slechts 2% voor Android
De top twee families zijn oververtegenwoordigd omdat er tijdens de meetperiode grote aanvallen op basis van deze ransomware hebben plaatsgevonden. Zo was er een grote piek van GandCrab aanvallen in de eerste helft van 2020. Het gebruik van deze familie zakte hierna snel in. Een reden voor de brede inzet is dat de GandCrab ransomware als onderdeel van Ransomware-as-a-Service (RaaS) diensten wordt verkocht. GandCrab wordt op deze manier door veel criminele groepen op verschillende manieren ingezet en daarmee ook vaker teruggevonden bij analyse.
Landen onder zwaar vuur
Uit de analyse van VirusTotal blijkt verder dat van de 140 landen, de volgende landen het meeste last lijken te hebben van ransomware aanvallen: Israël, Zuid-Korea, Vietnam, China, Singapore, India, Kazakhstan, de Filipijnen, Iran, en het Verenigd Koninkrijk. Met name Israël springt er tussenuit, met ruim 600% meer ingediende samples dan normaal.
Laag risico hoge beloning
Ransomware is een 'low-risk, high reward' strategie die zowel door grote als kleine groepen criminelen kunnen worden ingezet. VirusTotal is dan ook van mening dat er regelmatig constant grote, opvallende ransomware campagnes zullen opduiken. Tegelijkertijd is er een constante stroom kleinere aanvallen die zelden stil ligt.
Een overzicht van de huidige aanvallen waarbij er data gelekt wordt op het darkweb kun je hier vinden. Het lekken van data door de cybercriminelen heeft twee redenen:
- Putting pressure: Druk zetten bij het slachtoffer zodat ze overgaan tot betaling voor alle data gepubliceerd wordt
- Punish: Als je niet betaald wordt alle data online gezet en kunnen hackers hun gang gaan om vervolgens nieuwe slachtoffers te maken, mogelijk klanten, partners of medewerkers
Bron: google.com, virustotal.com, vpngids.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Cybercriminelen eisen €800.000 van gemeente Hof van Twente
De cybercriminelen die verantwoordelijk zijn voor de cyberaanval op de computersystemen van de gemeente Hof van Twente, eisen 50 bitcoin om alle bestanden weer toegankelijk te maken. Met de huidige koers komt dat neer op zo’n 800.000 euro. Als de gemeente weigert te betalen, dan maken ze de buitgemaakte gegevens openbaar (doxware).
Randstad slachtoffer van doxware en ransomware
Uitzendbureau Randstad is slachtoffer van een ransomware aanval en datadiefstal geworden, zo heeft het bedrijf vanavond via een persbericht bekendgemaakt (pdf).
Gemeente Hof van Twente getroffen door Ransomware: "Ze zijn vernietigd, niet meer terug te halen"
Systemen van de Overijsselse gemeente Hof van Twente zijn platgelegd door een cyberaanval, zo heeft de gemeente via de eigen website bekendgemaakt. Details over de aanval ontbreken nog, maar het lijkt om een aanval met ransomware te gaan. Gegevens op de servers van de gemeente zijn namelijk ontoegankelijk gemaakt.
REvil Ransomware lid “UNKN” undercover aan het woord
De ontwikkelaars van 'REvil ransomware' zeggen dat ze in één jaar tijd meer dan $ 100 miljoen (83 miljoen euro) hebben verdiend door grote bedrijven over de hele wereld uit verschillende sectoren af te persen.
'Downtime' kosten met betrekking tot ransomware zijn nu bijna 50 keer hoger dan het geldbedrag
Ransomware is opnieuw de meest voorkomende cyber dreiging voor het MKB (Midden en KleinBedrijf). 60% van de MSP’s meldt dat hun MKB-klanten vanaf het derde kwartaal van 2020 zijn getroffen door een ransomware-aanval. De impact van dergelijke aanvallen blijft daarnaast ook groeien, de gemiddelde kosten van de ontstane downtime zijn nu bijna zes keer hoger dan in 2018 en 94% hoger dan in 2019. De kosten zijn daarmee gestegen van ruim €39.000,- naar meer dan €230.000,-.
Ransomware losgeld betaling Nederlandse bedrijven het hoogste
Nederland scoort wereldwijd hoog wat betreft de bedragen die worden neergelegd bij ransomware aanvallen. Bedrijven in ons land betalen gemiddeld 1,45 miljoen euro losgeld en hebben daarmee de hoogste dwangsom, meldt security leverancier 'CrowdStrike' nu.