Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.
Toename in agressiviteit en brutaliteit
Een belangrijke trend die gezien wordt is de toename in agressiviteit en brutaliteit van ransomware groeperingen. Zo zijn er vaker ransomware aanvallen met een vorm van dubbele afpersing, zoals ransomware groeperingen die dreigen DdoS-aanvallen op bedrijven te lanceren, medewerkers lastig te gaan vallen, of data te publiceren, indien de losgeldeis niet betaald wordt. Daarnaast kwam de Conti groep recent met een persbericht en publiek statement naar aanleiding van het terughacken van de FBI richting REvil. Hoewel het aantal ransomwareaanvallen nog steeds toe neemt, lijkt de groei wel te stabiliseren.
Conti's publiek statement
Benarde situatie
Dave Maasland, belicht het huidige landschap: “Ransomware-bendes hebben ondertussen te veel schade aangebracht, ze hebben nog meer de aandacht getrokken van de rechtshandhaving. Op dit moment zitten we in een benarde situatie. De aanvallen nemen nog steeds toe, ze worden agressiever en het huidige beveiligingsniveau van bedrijven groeit niet hard genoeg mee. Het is noodzaak dat het bedrijfsleven zelf investeert in digitale veiligheid. Het bestuur van een organisatie moet verantwoordelijkheid nemen en vooral samenwerken met onder andere de politie als zij getroffen zijn. Dit probleem verdient meer aandacht dan dat het nu krijgt, juist ook in landelijke media voor het algemene publiek.”
Tal van ontwikkelingen
Gedurende het tweede trimester waren er nog tal van andere ontwikkelingen gaande binnen het ransomware dreigingslandschap. Zo werden bijvoorbeeld nieuwe ransomwaregroeperingen ontdekt, zoals Lorenz, welke de data van slachtoffers aanbied aan andere schadelijke actoren en ransomware groeperingen mocht de losgeldeis niet ingewilligd worden. De activiteiten van deze groep zijn echter alweer geslonken. Een andere nieuwe naam is DarkRadiation, een ransomware groepering die zich specifiek richt op Linux OS en Docker. Daarnaast zagen we ook een aantal ’rebrandings‘, zo kreeg DoppelPaymer de naam Grief en werd SynAck veranderd naar El_Cometa.
Drie grote pieken
Hoewel de hoeveelheid ransomware aanvallen gedurende het tweede trimester van 2021 stabiliseerde detecteerde ESET wel drie grote ransomware pieken. De drie pieken zoals gezien in ESET’s observaties vonden plaats op 12 juni, 3 juli en 23 augustus. De eerste piek was toe te schrijven aan de Sodinokibi (REvil) groep en was voornamelijk gericht op de United States, hetzelfde geldt voor de tweede piek die daarnaast ook gericht was op Zuid-Afrika. Tijdens deze tweede piek werd actief misbruik gemaakt van de kwetsbaarheid in Kaseya’s IT management software Virtual System Administrator, wat zorgde voor meer dan 1500 ransomware aanvallen wereldwijd. De derde en laatste piek in het aantal ransomware aanvallen gedurende het tweede trimester van 2021 was toe te schrijven aan BlackMatter.
Rebranding
BlackMatter is een nieuw opgedoken groep die gelieerd lijkt te zijn aan DarkSide, Sodinokini/REvil of beiden. Zowel de code, manier van betalen en andere operationele werkzaamheden komen overeen. Desondanks geven de operators van BlackMatter aan dat zij functies van de voorgenoemde groepen gebruiken en tevens LockBit inzetten. maar dat zij verder geen connectie hebben met een andere groepering. BlackMatter heeft echter deze week aangegeven te stoppen vanwege druk van de autoriteiten en recente handhavingsoperaties, vermoedelijk zal de groep een rebranding doorgaan.
Groeiend riscio
Ransomware blijft een groeiend riscio. Zo waarschuwt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, voor een toename in het aantal ransomware-aanvallen op Europese zorginstellingen. Gedurende het tweede trimester van 2021 vonden er diverse grote aanvallen op de vitale infrastructuur en bij grote IT-dienstverleners plaats, zowel in het buitenland als in Nederland. De ransomware aanvallen op de Colonial Pipeline en Kaseya werden wereldnieuws, en bij de aanval op Kaseya werd 70 miljoen dollar gevraagd als losgeld, de hoogst bekende losgeld-eis tot nu toe. In Nederland werd onder andere Hoppenbrouwers getroffen. Nog vorige week werd een ransomware-affiliate groepering opgepakt bij een internationale politieoperatie naar aanleiding van aangifte bij een ransomware aanval op een multinational in Rotterdam in 2019. De gearresteerden werden in verband gebracht met meer dan 1800 ransomwareaanvallen, waaronder aanvallen op de vitale infrastructuur.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: welivesecurity.com, eset.com
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Logistiek bedrijf in Brabant betaalt losgeld na infectie door ransomware
De Brabantse logistiek dienstverlener 'Van der Helm Logistics' heeft cybercriminelen losgeld betaald nadat bestanden door de Lockbit-ransomware waren versleuteld. De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan. Dat laat het bedrijf tegenover De Volkskrant weten.
Minister: "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd"
Minister van Justitie en Veiligheid Ferd Grapperhaus vraagt verzekeraars om het losgeld dat cybercriminelen eisen bij ransomware niet langer te vergoeden. De minister is van mening dat de geleden schade als gevolg van het niet-betalen van het losgeld het uitgangspunt moet zijn van verzekeraars. Door het gevraagde losgeld te vergoeden, werken ze cybercriminaliteit in de hand.
2,3 miljoen dollar aan cybercriminelen betaald
Wisselkantoor Travelex betaalde 2,3 miljoen dollar aan cybercriminelen na een ransomware-aanval. De systemen van Travelex werden begin januari versleuteld door ransomware. Travelex heeft cyberecriminelen betaald om verloren data terug te krijgen blijkt uit bronnen van The Wall Street Journal.
Organisaties lopen flink risico om geraakt te worden door ransomware
Organisaties lopen flink risico om geraakt te worden door ransomware én de impact kan dan groot zijn. Dit geven IT’ers aan in het 2020-securityonderzoek van AG Connect ‘Reageren op ransomware’, wat is uitgevoerd vlak voordat de coronacrisis uitbrak in Nederland.
Grootste energiebedrijf van Portugal getroffen door ransomware
'Energias de Portugal (EDP)', het grootste energiebedrijf van Portugal, is op tweede paasdag getroffen door ransomware. De aanvallers claimen dat ze tien terabyte aan data van de servers van EDP hebben gestolen en dreigen die openbaar te maken tenzij het bedrijf 10 miljoen euro losgeld betaalt, zo melden beveiligingsonderzoekers Vitali Kremez en 'MalwareHunterTeam' op Twitter.
"Sterke toename van het aantal aanvallen met ransomware op ziekenhuizen" zegt Interpol
Er is een sterke toename van het aantal aanvallen met ransomware op ziekenhuizen en medische instellingen, zo stelt Interpol, dat zowel ziekenhuizen als politiediensten in 194 landen voor de verhoogde dreiging heeft gewaarschuwd.
De Ryuk-ransomware is afgelopen maand gebruikt voor aanvallen op 10 gezondheidsorganisaties
De Ryuk-ransomware blijft zich richten op ziekenhuizen tijdens de coronacrisis.
Begeleidingscentrum Open Thuis in Hasselt (B) slachtoffer van ransomware-aanval
Open Thuis vzw in Hasselt, een begeleidingscentrum voor volwassenen met een beperking, is het voorbije weekend het slachtoffer geworden van een aanval met gijzelsoftware.
Ransomware criminelen zetten toch data van medische instelling online na aanval
De criminelen achter de 'Maze-ransomware' hebben data online gezet van een Brits onderzoeksbedrijf dat medicijnen en vaccins voor ziektes maakt. De groep beloofde eerder dat juist niet te doen.
Laat je niet gijzelen door ransomware
Ransomware kosten escaleren, met wereldwijde schade voorspeld tot $ 20 miljard tegen 2021, volgens 'Northport-gebaseerde Cybersecurity Ventures'.
Scholen kwetsbaar voor ransomware tijdens vakanties
De Stichting Limburgs Voortgezet Onderwijs (LVO), met 23 scholen verspreid over 31 locaties, is 19 februari getroffen door een nieuw soort ransomware dat nog niet door virusscanners werd herkend.
Politie: pas op voor nieuwe ransomware technieken
Tegenwoordig worden bij ransomware-aanvallen niet alleen bestanden versleuteld, maar ook data gestolen. Wanneer er niet aan de betaling wordt voldaan, dreigen ransomware-criminelen nu met het online verspreiden van de gestolen bedrijfsdata. De politie waarschuwt afgelopen zondag in 'Reporter Radio' voor deze ontwikkeling.