Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.
Toename in agressiviteit en brutaliteit
Een belangrijke trend die gezien wordt is de toename in agressiviteit en brutaliteit van ransomware groeperingen. Zo zijn er vaker ransomware aanvallen met een vorm van dubbele afpersing, zoals ransomware groeperingen die dreigen DdoS-aanvallen op bedrijven te lanceren, medewerkers lastig te gaan vallen, of data te publiceren, indien de losgeldeis niet betaald wordt. Daarnaast kwam de Conti groep recent met een persbericht en publiek statement naar aanleiding van het terughacken van de FBI richting REvil. Hoewel het aantal ransomwareaanvallen nog steeds toe neemt, lijkt de groei wel te stabiliseren.
Conti's publiek statement
Benarde situatie
Dave Maasland, belicht het huidige landschap: “Ransomware-bendes hebben ondertussen te veel schade aangebracht, ze hebben nog meer de aandacht getrokken van de rechtshandhaving. Op dit moment zitten we in een benarde situatie. De aanvallen nemen nog steeds toe, ze worden agressiever en het huidige beveiligingsniveau van bedrijven groeit niet hard genoeg mee. Het is noodzaak dat het bedrijfsleven zelf investeert in digitale veiligheid. Het bestuur van een organisatie moet verantwoordelijkheid nemen en vooral samenwerken met onder andere de politie als zij getroffen zijn. Dit probleem verdient meer aandacht dan dat het nu krijgt, juist ook in landelijke media voor het algemene publiek.”
Tal van ontwikkelingen
Gedurende het tweede trimester waren er nog tal van andere ontwikkelingen gaande binnen het ransomware dreigingslandschap. Zo werden bijvoorbeeld nieuwe ransomwaregroeperingen ontdekt, zoals Lorenz, welke de data van slachtoffers aanbied aan andere schadelijke actoren en ransomware groeperingen mocht de losgeldeis niet ingewilligd worden. De activiteiten van deze groep zijn echter alweer geslonken. Een andere nieuwe naam is DarkRadiation, een ransomware groepering die zich specifiek richt op Linux OS en Docker. Daarnaast zagen we ook een aantal ’rebrandings‘, zo kreeg DoppelPaymer de naam Grief en werd SynAck veranderd naar El_Cometa.
Drie grote pieken
Hoewel de hoeveelheid ransomware aanvallen gedurende het tweede trimester van 2021 stabiliseerde detecteerde ESET wel drie grote ransomware pieken. De drie pieken zoals gezien in ESET’s observaties vonden plaats op 12 juni, 3 juli en 23 augustus. De eerste piek was toe te schrijven aan de Sodinokibi (REvil) groep en was voornamelijk gericht op de United States, hetzelfde geldt voor de tweede piek die daarnaast ook gericht was op Zuid-Afrika. Tijdens deze tweede piek werd actief misbruik gemaakt van de kwetsbaarheid in Kaseya’s IT management software Virtual System Administrator, wat zorgde voor meer dan 1500 ransomware aanvallen wereldwijd. De derde en laatste piek in het aantal ransomware aanvallen gedurende het tweede trimester van 2021 was toe te schrijven aan BlackMatter.
Rebranding
BlackMatter is een nieuw opgedoken groep die gelieerd lijkt te zijn aan DarkSide, Sodinokini/REvil of beiden. Zowel de code, manier van betalen en andere operationele werkzaamheden komen overeen. Desondanks geven de operators van BlackMatter aan dat zij functies van de voorgenoemde groepen gebruiken en tevens LockBit inzetten. maar dat zij verder geen connectie hebben met een andere groepering. BlackMatter heeft echter deze week aangegeven te stoppen vanwege druk van de autoriteiten en recente handhavingsoperaties, vermoedelijk zal de groep een rebranding doorgaan.
Groeiend riscio
Ransomware blijft een groeiend riscio. Zo waarschuwt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, voor een toename in het aantal ransomware-aanvallen op Europese zorginstellingen. Gedurende het tweede trimester van 2021 vonden er diverse grote aanvallen op de vitale infrastructuur en bij grote IT-dienstverleners plaats, zowel in het buitenland als in Nederland. De ransomware aanvallen op de Colonial Pipeline en Kaseya werden wereldnieuws, en bij de aanval op Kaseya werd 70 miljoen dollar gevraagd als losgeld, de hoogst bekende losgeld-eis tot nu toe. In Nederland werd onder andere Hoppenbrouwers getroffen. Nog vorige week werd een ransomware-affiliate groepering opgepakt bij een internationale politieoperatie naar aanleiding van aangifte bij een ransomware aanval op een multinational in Rotterdam in 2019. De gearresteerden werden in verband gebracht met meer dan 1800 ransomwareaanvallen, waaronder aanvallen op de vitale infrastructuur.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: welivesecurity.com, eset.com
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Cybercriminelen eisen €800.000 van gemeente Hof van Twente
De cybercriminelen die verantwoordelijk zijn voor de cyberaanval op de computersystemen van de gemeente Hof van Twente, eisen 50 bitcoin om alle bestanden weer toegankelijk te maken. Met de huidige koers komt dat neer op zo’n 800.000 euro. Als de gemeente weigert te betalen, dan maken ze de buitgemaakte gegevens openbaar (doxware).
Randstad slachtoffer van doxware en ransomware
Uitzendbureau Randstad is slachtoffer van een ransomware aanval en datadiefstal geworden, zo heeft het bedrijf vanavond via een persbericht bekendgemaakt (pdf).
Gemeente Hof van Twente getroffen door Ransomware: "Ze zijn vernietigd, niet meer terug te halen"
Systemen van de Overijsselse gemeente Hof van Twente zijn platgelegd door een cyberaanval, zo heeft de gemeente via de eigen website bekendgemaakt. Details over de aanval ontbreken nog, maar het lijkt om een aanval met ransomware te gaan. Gegevens op de servers van de gemeente zijn namelijk ontoegankelijk gemaakt.
REvil Ransomware lid “UNKN” undercover aan het woord
De ontwikkelaars van 'REvil ransomware' zeggen dat ze in één jaar tijd meer dan $ 100 miljoen (83 miljoen euro) hebben verdiend door grote bedrijven over de hele wereld uit verschillende sectoren af te persen.
'Downtime' kosten met betrekking tot ransomware zijn nu bijna 50 keer hoger dan het geldbedrag
Ransomware is opnieuw de meest voorkomende cyber dreiging voor het MKB (Midden en KleinBedrijf). 60% van de MSP’s meldt dat hun MKB-klanten vanaf het derde kwartaal van 2020 zijn getroffen door een ransomware-aanval. De impact van dergelijke aanvallen blijft daarnaast ook groeien, de gemiddelde kosten van de ontstane downtime zijn nu bijna zes keer hoger dan in 2018 en 94% hoger dan in 2019. De kosten zijn daarmee gestegen van ruim €39.000,- naar meer dan €230.000,-.
Ransomware losgeld betaling Nederlandse bedrijven het hoogste
Nederland scoort wereldwijd hoog wat betreft de bedragen die worden neergelegd bij ransomware aanvallen. Bedrijven in ons land betalen gemiddeld 1,45 miljoen euro losgeld en hebben daarmee de hoogste dwangsom, meldt security leverancier 'CrowdStrike' nu.
Zes getroffen ziekenhuizen met ransomware in een staat kregen hulp van de Nationale Garde
Gouverneur Phil Scott van de Amerikaanse staat Vermont heeft de 'Nationale Garde' van de staat ingezet om zes door ransomware getroffen ziekenhuizen te helpen. De zes ziekenhuizen en medische centra van het 'University of Vermont Health Network' raakten eind oktober besmet met ransomware.
Toename met 1200 procent detecties 'Emotet-malware' in periode juli tot september
Er is een enorme toename van 'Emotet-malware' aanvallen. Cybercriminelen maken gebruik van machines die door de malware zijn gehackt om meer malware-infecties en ransomware campagnes te lanceren.
FBI:"De recente cyberaanvallen op ziekenhuizen is nog maar het begin"
De recente cyberaanvallen op Amerikaanse ziekenhuizen is nog maar het begin. De Federal Bureau of Investigation (FBI), het ministerie van Volksgezondheid en het Cybersecurity and Infrastructure Security Agency (CISA) zeggen dat cybercriminelen zich voorbereiden op een golf aan ransomware-aanvallen. De hackers zijn volgens de veiligheidsinstanties uit op geld en geven niets om de gezondheid of veiligheid van patiënten. Gezondheidsinstellingen krijgen het advies om hun digitale beveiliging op te schroeven.
Moeten ook MKB IT-dienstverleners er nu echt aan gaan geloven?
Pas recent werd duidelijk dat een rechter in 2018 een vonnis heeft gewezen waarin een IT-dienstverlener de kosten grotendeels moest vergoeden die het gevolg waren van schade door een ransomware infectie. In de dagen nadat het vonnis bekend werd ontstonden verschillende discussies op LinkedIn en sites als Security.nl. De meningen liepen sterk uiteen: voor sommigen was het een onbegrijpelijke uitspraak, anderen verzuchtten dat er nu eindelijk eens opgetreden werd.
Ransomware-aanval in Duits ziekenhuis leidt tot dood van patiënt
Een persoon in een levensbedreigende toestand stierf nadat hij door een ransomware-aanval gedwongen was naar een verder weg gelegen ziekenhuis te gaan.
Update 3: Veligheidsregio (Noord- en Oost Gelderland) getroffen door Ransomware
Update 17-9-2020, 16.00 uur