Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.
Toename in agressiviteit en brutaliteit
Een belangrijke trend die gezien wordt is de toename in agressiviteit en brutaliteit van ransomware groeperingen. Zo zijn er vaker ransomware aanvallen met een vorm van dubbele afpersing, zoals ransomware groeperingen die dreigen DdoS-aanvallen op bedrijven te lanceren, medewerkers lastig te gaan vallen, of data te publiceren, indien de losgeldeis niet betaald wordt. Daarnaast kwam de Conti groep recent met een persbericht en publiek statement naar aanleiding van het terughacken van de FBI richting REvil. Hoewel het aantal ransomwareaanvallen nog steeds toe neemt, lijkt de groei wel te stabiliseren.
Conti's publiek statement
Benarde situatie
Dave Maasland, belicht het huidige landschap: “Ransomware-bendes hebben ondertussen te veel schade aangebracht, ze hebben nog meer de aandacht getrokken van de rechtshandhaving. Op dit moment zitten we in een benarde situatie. De aanvallen nemen nog steeds toe, ze worden agressiever en het huidige beveiligingsniveau van bedrijven groeit niet hard genoeg mee. Het is noodzaak dat het bedrijfsleven zelf investeert in digitale veiligheid. Het bestuur van een organisatie moet verantwoordelijkheid nemen en vooral samenwerken met onder andere de politie als zij getroffen zijn. Dit probleem verdient meer aandacht dan dat het nu krijgt, juist ook in landelijke media voor het algemene publiek.”
Tal van ontwikkelingen
Gedurende het tweede trimester waren er nog tal van andere ontwikkelingen gaande binnen het ransomware dreigingslandschap. Zo werden bijvoorbeeld nieuwe ransomwaregroeperingen ontdekt, zoals Lorenz, welke de data van slachtoffers aanbied aan andere schadelijke actoren en ransomware groeperingen mocht de losgeldeis niet ingewilligd worden. De activiteiten van deze groep zijn echter alweer geslonken. Een andere nieuwe naam is DarkRadiation, een ransomware groepering die zich specifiek richt op Linux OS en Docker. Daarnaast zagen we ook een aantal ’rebrandings‘, zo kreeg DoppelPaymer de naam Grief en werd SynAck veranderd naar El_Cometa.
Drie grote pieken
Hoewel de hoeveelheid ransomware aanvallen gedurende het tweede trimester van 2021 stabiliseerde detecteerde ESET wel drie grote ransomware pieken. De drie pieken zoals gezien in ESET’s observaties vonden plaats op 12 juni, 3 juli en 23 augustus. De eerste piek was toe te schrijven aan de Sodinokibi (REvil) groep en was voornamelijk gericht op de United States, hetzelfde geldt voor de tweede piek die daarnaast ook gericht was op Zuid-Afrika. Tijdens deze tweede piek werd actief misbruik gemaakt van de kwetsbaarheid in Kaseya’s IT management software Virtual System Administrator, wat zorgde voor meer dan 1500 ransomware aanvallen wereldwijd. De derde en laatste piek in het aantal ransomware aanvallen gedurende het tweede trimester van 2021 was toe te schrijven aan BlackMatter.
Rebranding
BlackMatter is een nieuw opgedoken groep die gelieerd lijkt te zijn aan DarkSide, Sodinokini/REvil of beiden. Zowel de code, manier van betalen en andere operationele werkzaamheden komen overeen. Desondanks geven de operators van BlackMatter aan dat zij functies van de voorgenoemde groepen gebruiken en tevens LockBit inzetten. maar dat zij verder geen connectie hebben met een andere groepering. BlackMatter heeft echter deze week aangegeven te stoppen vanwege druk van de autoriteiten en recente handhavingsoperaties, vermoedelijk zal de groep een rebranding doorgaan.
Groeiend riscio
Ransomware blijft een groeiend riscio. Zo waarschuwt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, voor een toename in het aantal ransomware-aanvallen op Europese zorginstellingen. Gedurende het tweede trimester van 2021 vonden er diverse grote aanvallen op de vitale infrastructuur en bij grote IT-dienstverleners plaats, zowel in het buitenland als in Nederland. De ransomware aanvallen op de Colonial Pipeline en Kaseya werden wereldnieuws, en bij de aanval op Kaseya werd 70 miljoen dollar gevraagd als losgeld, de hoogst bekende losgeld-eis tot nu toe. In Nederland werd onder andere Hoppenbrouwers getroffen. Nog vorige week werd een ransomware-affiliate groepering opgepakt bij een internationale politieoperatie naar aanleiding van aangifte bij een ransomware aanval op een multinational in Rotterdam in 2019. De gearresteerden werden in verband gebracht met meer dan 1800 ransomwareaanvallen, waaronder aanvallen op de vitale infrastructuur.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: welivesecurity.com, eset.com
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
De meest gevreesde Ransomware versleutelingen
Netwalker in een ransomware die in september 2019 werd ontdekt. Het draagt een tijdstempel van eind augustus 2019. Netwalker is een bijgewerkte versie van Mailto die ontdekt werd door de onafhankelijk cybersecurity-onderzoeker en Twitter-gebruiker GrujaRS.
Spie International bevestigt ransomware aanval
Spie International is het slachtoffer geworden van cybercriminelen. Ze slaagde erin om de Nefilim-ransomware op het computernetwerk van het bedrijf te installeren. Inmiddels werken alle systemen weer en draait de productie weer als vanouds. Wel is er data buitgemaakt van diverse klanten.
Amerikaanse gemeente besluit tot betalen cybercriminelen
Eind juli werd de Amerikaanse stad 'Lafeyette' het slachtoffer van een ransomware aanval. Cybercriminelen hadden het stadsnetwerk geïnfecteerd en eisten € 38.000 euro voor het ontsleutelen van de bestanden.
Canon maakt ransomware aanvallen bekend aan werknemers
BleepingComputer heeft een screenshot ontvangen van een intern bericht dat door Canon naar medewerkers is gestuurd waarin de ransomware aanval wordt onthuld.
"Storing" bij Canon
Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.
Het businessmodel van 'Ransomware as a Service'
Vorige week werd Garmin slachtoffer van een ransomware aanval door de Russische hackers group Evil Corp. Dagenlang waren de diensten van Garmin onbereikbaar. Het is steeds makkelijker om dit soort aanvallen te doen omdat er zoiets bestaat als 'Ransomware as a Service' (RaaS).
Hackers groep Lazarus zet actief 'VHD-ransomware' in voor bedrijfsaanvallen
Door Noord-Korea gesteunde hackers groep Lazarus zet actief VHD-ransomware in tegen bedrijven, volgens een rapport dat gisteren is gepubliceerd door Kaspersky-onderzoekers.
"Naar schatting 538 miljoen euro bespaard aan ransom betalingen"
Het 'No More Ransom' Project viert vandaag zijn vierde verjaardag. Het project dat de Nederlandse politie, Europol en antivirusbedrijven Kaspersky Lab en McAfee in juli 2016 lanceerden bestaat inmiddels vier jaar.
Geen storing maar gijzelsoftware bij 'Garmin'
Het is al dagen niet mogelijk om sportactiviteiten te synchroniseren met de mobiele app 'Garmin Connect'. Dat geldt ook voor andere diensten van het bedrijf.
Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen
Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.
Klik en versleuteld is terug
In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.
Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"
Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.