/f.eu1.jwwb.nl%2Fpublic%2Fh%2Ft%2Fh%2Ftemp-ofinjmcgqxvqzvyrppbf%2Fv1c8lh%2Fcybercrime-793-ccinl-1.jpg)
Vorige week verscheen het 'Ransomware Spotlight Year End Report' van Ivanti. Het rapport identificeerde 32 nieuwe ransomwarefamilies in 2021, waarmee het totaal op 157 komt, een toename van 26 procent ten opzichte van het voorgaande jaar.
Uit het rapport blijkt ook dat deze ransomware-groepen zich blijven richten op ongepatchte kwetsbaarheden en zero-day kwetsbaarheden en zich in recordtijd bewapenen om verlammende aanvallen uit te voeren. Tegelijkertijd breiden ze hun aanvalsgebieden uit en vinden ze nieuwe manieren om netwerken van organisaties in gevaar te brengen door zeer impactvolle aanvallen uit te voeren.
Enkele belangrijke observaties en trends uit het Ransomware report
Ongepatchte kwetsbaarheden blijven de meest prominente aanvalsvectoren die worden uitgebuit door ransomware-groepen
De analyse bracht vorig jaar 65 nieuwe kwetsbaarheden in verband met ransomware aan het licht, wat neerkomt op een groei van 29 procent ten opzichte 2020, waarmee het totale aantal kwetsbaarheden in verband met ransomware op 288 uitkomt. Alarmerend is dat meer dan een derde (37 procent) van deze nieuw toegevoegde kwetsbaarheden trending waren op het dark web en herhaaldelijk werden misbruikt. Tegelijkertijd werd 56 procent van de 223 oudere kwetsbaarheden die vóór 2021 waren geïdentificeerd, nog steeds actief misbruikt door ransomware-groepen. Dit bewijst dat organisaties prioriteit moeten geven aan het patchen van de kwetsbaarheden waar ransomware groepen zich op richten – of het nu nieuw ontdekte kwetsbaarheden zijn of oudere kwetsbaarheden.
Ransomware groepen blijven zero-day kwetsbaarheden vinden en gebruiken, zelfs voordat de CVE’s zijn toegevoegd aan de National Vulnerability Database en patches zijn vrijgegeven
De kwetsbaarheden QNAP (CVE-2021-28799), Sonic Wall (CVE-2021-20016), Kaseya (CVE-2021-30116), en recentelijk Apache Log4j (CVE-2021-44228) werden al misbruikt voordat ze in de National Vulnerability Database (NVD) waren opgenomen. Deze gevaarlijke trend toont aan dat leveranciers snel moeten reageren bij het bekendmaken van kwetsbaarheden en het uitbrengen van patches voorrang moeten geven. Het benadrukt ook de noodzaak voor organisaties om verder te kijken dan de NVD en een oogje in het zeil te houden voor trends op het gebied van kwetsbaarheden, gevallen van uitbuiting, adviezen van leveranciers en waarschuwingen van beveiligingsinstanties, als ze bepalen welke kwetsbaarheden voorrang krijgen om te patchen.
Ransomwaregroepen richten zich steeds vaker op netwerken binnen de toeleveringsketen om grote schade aan te richten en wijdverbreide chaos te veroorzaken
Eén kwetsbaarheid in de toeleveringsketen kan meerdere wegen openen voor bedreigers om complete systeemdistributies over honderden netwerken te kapen. Vorig jaar hebben aanvallers netwerken in de toeleveringsketen in gevaar gebracht via toepassingen van derden, producten van specifieke leveranciers en open-sourcebibliotheken. De REvil-groep ging bijvoorbeeld achter CVE-2021-30116 in de Kaseya VSA-dienst voor beheer op afstand aan en lanceerde een schadelijk updatepakket dat alle klanten in gevaar bracht die onsite en remote versies van het VSA-platform gebruikten.
Ransomware-groepen delen hun diensten steeds vaker met anderen, net als legitieme SaaS-aanbiedingen
Ransomware-as-a-service is een bedrijfsmodel waarbij ontwikkelaars van ransomware hun diensten, varianten, kits of code tegen betaling aanbieden aan andere kwaadwillende actoren. Exploit-as-a-service-oplossingen stellen bedreigers in staat “zero-day”-exploits te huren van ontwikkelaars. Daarnaast kunnen beginnende hackers met dropper-as-a-service malware verspreiden via programma’s die, wanneer ze worden uitgevoerd, een kwaadaardige payload kunnen uitvoeren op de computer van een slachtoffer. En trojan-as-a-service, ook wel malware-as-a-service genoemd, stelt iedereen met een internetverbinding in staat om aangepaste malware te verkrijgen en te implementeren in de cloud, zonder installatie.
157 ransomwarefamilies
Met 157 ransomwarefamilies die 288 kwetsbaarheden misbruiken, zijn ransomwaregroepen klaar om in de komende jaren ongebreidelde aanvallen uit te voeren. En volgens Coveware betalen organisaties na een ransomware-aanval gemiddeld 220.298 dollar en kampen ze met 23 dagen downtime. Dit vraagt om een grotere nadruk op cyberhygiëne. In de toekomst zal het automatiseren van cyberhygiëne steeds belangrijker worden, vooral omdat omgevingen steeds gecompliceerder worden.
Srinivas Mukkamala, Senior Vice President van Security Products bij Ivanti, zegt: “Ransomware groepen worden steeds geavanceerder, en hun aanvallen steeds impactvoller. Deze bedreigers maken steeds meer gebruik van geautomatiseerde toolkits om kwetsbaarheden uit te buiten en dieper door te dringen in netwerken. Ze breiden ook hun doelwitten uit en voeren meer aanvallen uit op kritieke sectoren, waardoor ze het dagelijks leven verstoren en ongekende schade aanrichten. Organisaties moeten extra waakzaam zijn en kwetsbaarheden die als wapen zijn ingezet onverwijld patchen. Dit vereist een combinatie van risicogebaseerde prioritering van kwetsbaarheden en geautomatiseerde patchintelligentie om zwakke plekken in kwetsbaarheden te identificeren en te prioriteren en vervolgens de herstelwerkzaamheden te versnellen.”
Anuj Goel, CEO van Cyware, vult aan: “De wezenlijke verandering die we in het ransomware-landschap hebben waargenomen, is dat de aanvallers zowel processen als patchimplementaties willen binnendringen, maar ook op zoek zijn naar hiaten in de bescherming om systemen zelf binnen te dringen. Het ontdekken van kwetsbaarheden moet worden opgevangen met een actie die kwetsbaarheidsgegevens behandelt als informatie om snel te kunnen reageren en beslissingen te nemen. Aangezien ransomware-bendes hun tooling, methoden en doellijsten operationeel maken, is het van essentieel belang voor SecOps-teams om processen te automatiseren om kwetsbare activa en systemen zelf te herstellen om zo risico’s te verkleinen met behulp van realtime informatie.”
Aaron Sandeen, CEO van Cyber Security Works, zegt: “Ransomware is verwoestend voor klanten en werknemers in elke sector! In 2022 zullen we een toename blijven zien van nieuwe kwetsbaarheden, exploit types, APT groepen, ransomwarefamilies, CWE-categorieën, en hoe oude kwetsbaarheden worden ingezet om organisaties uit te buiten. Leiders hebben innovatieve en voorspellende hulp nodig bij het voorrang geven aan en verhelpen van ransomware-dreigingen.”
Het Ransomware Index Spotlight-rapport is gebaseerd op gegevens die zijn verzameld uit verschillende bronnen, waaronder eigen gegevens van Ivanti en CSW, openbaar toegankelijke bedreigingsdatabases en bedreigingsdeskundigen en penetratietestteams. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: ivanti.com
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over ransomware
Verkenningsonderzoek naar ransomware-aanvallen bij Nederlandse overheidsdiensten en bedrijven
Het Centraal Bureau voor de Statistiek (CBS) heeft in samenwerking met het Nationaal Cyber Security Centrum (NCSC) verkenningsonderzoek gedaan naar ransomware-aanvallen bij Nederlandse overheidsdiensten en bedrijven. De onderzoekers keken onder meer naar de tijdslijn en kosten van aanvallen met gijzelsoftware. Vanwege de gevoeligheid van de verzamelde data, is het rapport niet online gepubliceerd. Dat schrijft het CBS in een persbericht.
Cyberciminelen eisen 15 miljoen euro van woningcorporaties
Eind maart vielen hackers negen woningcorporaties aan. De daders eisen losgeld, in totaal 15 miljoen euro, om de buitgemaakte gegevens niet openbaar te maken. De verhuurders zeggen contact te hebben gehad met de daders en dat ze geen losgeld gaan betalen.
“Rebound”-aanvallen en de opkomst van een nieuw bedrijfsmodel zorgt voor een zeer sterke toename van ransomware-aanvallen
Ransomware-aanvallen zijn de afgelopen jaren qua aantallen en intensiteit toegenomen. In 2021 werden steeds meer bedrijven doelwit en de verwachting is dat dit in 2022 alleen nog maar verder zal oplopen.
Stijging van 82 procent in aantal ransomware-gerelateerde datalekken
CrowdStrike publiceerde de resultaten van het 2022 CrowdStrike Global Threat Report (GTR). Hieruit blijkt dat er sprake is van een toename van maar liefst 82 procent in het aantal ransomware-gerelateerde datalekken. Het totale aantal in 2021 ligt op 2.686, in 2020 lag dit nog op 1.474. Deze stijging, in combinatie met de toename van andere datalekken, weerspiegelt de toenemende waarde die cybercriminelen hechten aan de gegevens van slachtoffers.
Cybercriminelen richten zich op zero-day kwetsbaarheden en supply chain netwerken voor maximale impact
Vorige week verscheen het 'Ransomware Spotlight Year End Report' van Ivanti. Het rapport identificeerde 32 nieuwe ransomwarefamilies in 2021, waarmee het totaal op 157 komt, een toename van 26 procent ten opzichte van het voorgaande jaar.
Game Mania slachtoffer ransomware aanval
Game Mania is deze week getroffen door een aanval met gijzelsoftware. De daders slaagden erin om toegang te krijgen tot persoonsgegevens van klanten. Er zijn geen wachtwoorden of betaalgegevens buitgemaakt. Het voorval is gemeld bij de nationale toezichthouder in Nederland en België.
73 procent van de Nederlandse bedrijven zijn de afgelopen twaalf maanden eens of meermalen slachtoffer geweest van ransomware
Slachtoffers van gijzelsoftware betalen gemiddeld 1,8 miljoen dollar aan criminele hackers. Daarna worden ze vaak opnieuw afgeperst.
Ransomware jaaroverzicht 2021
Ransomware zorgde in 2021 voor lege kaasschappen, naar huis gestuurd personeel en grote hoeveelheden gestolen persoonsgegevens. Ook in 2021 werden Nederlandse bedrijven, onderwijsinstellingen en andere organisaties geregeld het slachtoffer van ransomware. Een terugblik op een jaar vol ransomware-aanvallen. Daarnaast nemen we de grootste ransomware-aanvallen in het buitenland onder de loep, alsmede gebruikte aanvalsmethodes en reacties op de dreiging van ransomware.
Toename in agressiviteit en brutaliteit van ransomware cybercriminelen
Ransomware groeperingen worden steeds agressiever en brutaler. Dit blijkt uit het meest recente Threat Report van ESET. Het report met betrekking tot het tweede trimester van 2021 geeft inzicht in het huidige dreigingslandschap naar aanleiding van observaties en belicht onder andere de trends die gezien worden in het ransomware dreigingslandschap.
Status: vier weken na de cyberaanval op VLD
Vier weken na de computergijzeling is VDL de gevolgen van de brute aanval nog niet te boven. Mogelijk loopt de levering van bussen in Amsterdam vertraging op omdat de busfabriek in België nog platligt.
"Opnieuw is bewezen dat internationale samenwerking cruciaal is tegen de dreiging van ransomware"
In een grote internationale operatie van politie en justitie zijn in acht landen 12 verdachten opgespoord die vermoedelijk deel uit maken van een wereldwijd netwerk van cybercriminelen. Het netwerk voerde verwoestende ransomware-aanvallen uit op de kritieke infrastructuur, zoals overheden en multinationals over de hele wereld.
"Yeah baby" take down door politie diensten
De Russische hackersgroep REvil is deze week door de FBI, samen met de Amerikaanse Secret Service, het Amerikaanse ministerie van Defensie en diverse buitenlandse mogendheden offline gehaald. Dat schrijft het Amerikaanse persbureau Reuters op basis van diverse bronnen.