Ransomware-aanvallen zijn de afgelopen jaren qua aantallen en intensiteit toegenomen. In 2021 werden steeds meer bedrijven doelwit en de verwachting is dat dit in 2022 alleen nog maar verder zal oplopen.
Deze alarmerende vaststelling illustreert dat ransomware één van de belangrijkste wapens in het arsenaal van cybercriminelen blijft en het dreigingslandschap blijft domineren. 2021 kan worden beschouwd als een symbolisch jaar voor wat betreft het aantal ransomware-aanvallen. 2022 doet daar niet voor onder. Dit jaar zorgen “rebound”-aanvallen - cyberaanvallen die zich van het ene bedrijf naar het andere verspreiden - samen met de opkomst van een nieuw bedrijfsmodel dat ontwikkeld is door kwaadwillenden, voor een zeer sterke toename van ransomware-aanvallen. Zo is de reden voor incident response engagement in 2020-2021, volgens een rapport van Vanson Bourne, in 79% van de gevallen ransomware. Het is daarom meer dan noodzakelijk dat bedrijven strategieën vaststellen en uitvoeren om te voorkomen dat deze aanvallen zich uitbreiden.
Aanvallers gebruiken steeds verfijndere technieken
Voorheen volgden kwaadwillenden een unieke methode: ze ontwikkelden hun eigen ransomware en lanceerden hun eigen aanvallen. Recentelijk hebben aanvallers een andere methode aangenomen: ransomware ontwikkelen en hun producten en diensten verhuren aan specialisten op het gebied van virtual forcible entry. Dit nieuwe en goed ingeburgerde Ransomware-as-a-Service-bedrijfsmodel stelt ransomware-experts in staat hun producten te ontwikkelen en te verbeteren. Het maakt hun partners, specialisten op het gebied van inbraak, productiever. Volgens het rapport van Vanson Bourne illustreert de besmettingsgraad van Conti deze uitbreiding van het RaaS-model perfect. Er werd vastgesteld dat Conti, Ryuk (28%), Everest (15%) en Lockbit 2.0 (10%) de meest virulente groepen zijn.
Dit RaaS-model maakt het mogelijk om ongestraft aanvallen in te zetten tegen grotere ondernemingen (omdat het moeilijk is om de oorsprong van een aanval te achterhalen) en door te dringen tot in de meest verfijnde beveiligingssystemen. Financiën en verzekeringen behoren tot de primaire doelen, gevolgd door diensten, handel en industrie.
Het RaaS-model heeft ook de weg vrijgemaakt voor een uitbreiding van afpersingsmethoden. Volgens Forrester nemen ransomware-aanvallen toe in intensiteit (elke 11 seconden vindt er een ransomware-aanval plaats) en zijn de eisen voor losgeld in slechts één jaar tijd met 300% gestegen. En ze blijven stijgen.
Hoewel het eisen van losgeld in ruil voor decryption keys nog steeds successen boekt, kiezen sommige bedrijven ervoor om niet te betalen. Deze bedrijven beschikken over effectieve verdedigingsmiddelen om hun gegevens te beschermen. Desondanks wisten de aanvallers een oplossing te vinden door misbruik te maken van de toegangstijd tot het netwerk van het gehackte bedrijf. Zo konden ze alle gevoelige gegevens buitmaken en naar hun eigen cloud overbrengen. Door deze strategie krijgen kwaadwillenden de situatie weer onder controle en herhalen zij hun dreigement door een nieuwe voorwaarde toe te voegen: als de bedrijven weigeren het losgeld te betalen, zullen al hun gevoelige gegevens op het internet worden verspreid. De bedrijven zien zich dan alsnog gedwongen het losgeld te betalen.
Kwaadwillenden lijken op alle scenario’s voorbereid te zijn. Zijn bedrijven echt gedoemd om het slachtoffer te worden van deze ransomware-aanvallen? Is er een manier om deze inbraken en ransomware te voorkomen?
Er is een manier om ransomware tegen te houden
Ondanks de toename van ransomware-aanvallen zijn er manieren waarop bedrijven de combinatie van productiviteitsverlies en het betalen van losgeld kunnen voorkomen. Verschillende stappen maken het mogelijk om de gevolgen van deze plaag te beperken. Het is allereerst van essentieel belang om back-ups te maken van gegevens die tijdens een aanval kunnen worden versleuteld. Vervolgens moet er een beroep worden gedaan op een bedrijf dat zich specialiseert in cloud backup om de gegevens en de gekloonde systemen te bewaren. Bedrijven kunnen, als er een aanval plaatsvindt, hun activiteiten zo dus voortzetten met herstelde gegevens en backups. De impact op het werk is dan minimaal en eventuele verliezen zijn volledig overkomelijk.
Om op de hoogte te blijven van mogelijke veranderingen in het landschap van cybercriminaliteit, moeten beveiligingsexperts bovendien voortdurend op hun hoede zijn. Ze moeten alle informatie aangrijpen die hen kan helpen met het perfectioneren van hun oplossingen. Dit is wat er in 2021 gebeurde, toen vertrouwelijke documenten en tools van Conti door een ontevreden partner openbaar werden gemaakt, waardoor de aanvalsmethoden en het bedrijfsmodel van de groep aan het licht kwamen. Hierdoor konden deskundigen de verzamelde gegevens gebruiken om een versterkt beveiligingssysteem te ontwerpen en te ontwikkelen. Dankzij deze oplossing worden klanten en beheerders onmiddellijk gewaarschuwd zodra er een aanval wordt gedetecteerd.
Het RaaS-bedrijfsmodel is niet volledig onstuitbaar. Kwaadwillenden kunnen, met frequente publicaties over aanvalsmethoden en andere manieren om deze ransomware-aanvallen te verijdelen, worden verslagen. Bedrijven moeten er echter voor zorgen dat ze hun beveiliging voortdurend versterken en waakzaam zijn. Uit een studie van Gartner is gebleken dat er rond 2025 nieuwe wetgevingen zullen worden ingevoerd om de betaling van losgeld voor ransomware, boetes en onderhandelingen te regelen. Gartner geeft aan dat 30% van de staten zich voorbereidt om dergelijke regelgeving aan te nemen, vergeleken met slechts 1% in 2021. De wil om ransomware te bestrijden is een dagelijkse zorg van bedrijven en overheden. Toch moet iedereen bewust blijven van de constante ontwikkeling van deze aanvallen zodat er meer verfijnde reactiemethoden ontworpen kunnen worden.
Bron: gartner.com, lemagit.fr, alistdaily.com, sophos.com, vansonbourne.com, dutchitchannel.nl
- Meer info over ransomware
- Bekijk alle vormen en begrippen
- Actuele aanvallen overzicht per dag
- Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
Cybercriminelen blijven op het netwerk van slachtoffers actief
Cybercriminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan.
Universiteit Maastricht was niet goed voorbereid, maar wel adequaat in handelen op Cyberaanval
De Universiteit Maastricht was niet goed voorbereid op de aanval met ransomware, eind vorig jaar. Wel is er adequaat gehandeld bij het afhandelen van de aanval, zo stelt de Inspectie van het Onderwijs na een onderzoek naar de toedracht.
Koninklijke Reesink: waarschijnlijk gaat het om miljoenen euro’s
De Nederlandse landbouwdistributeur 'Royal Reesink' is slachtoffer geworden van een aanval met ransomware. Het Apeldoornse bedrijf, dat in 10 landen vestigingen heeft en in 2019 een omzet had van bijna 1 miljard euro, lag sinds begin juni plat. Zeventig procent van de 35 aangesloten bedrijven werd geraakt door de digitale aanval.
Ransomware legt autoproductie Honda wereldwijd plat
Autofabrikant Honda heeft wereldwijd verschillende producties stilgezet. Het bedrijf lijkt getroffen te zijn door een cyberaanval. De aard daarvan is niet duidelijk; er zijn geruchten dat het om ransomware gaat.
IT bedrijf moet ransomware schade door zwakke beveiliging betalen
Een it-bedrijf dat netwerkbeheer voor een Hilversums administratiekantoor uitvoerde moet de schade door een ransomware-infectie grotendeels vergoeden, zo heeft de rechtbank Amsterdam bepaald. Het gaat om een bedrag van ruim 10.000 euro, alsmede de proceskosten van 3.100 euro. Tevens hoeft het administratiekantoor de herstelwerkzaamheden die het it-bedrijf verrichtte niet te betalen.
6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware
De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.
"Ik heb Darkweb Ransomware gebruikt om mijn baas te saboteren"
Eenvoudige, schaalbare en laag-risico ransomware zorgt voor een bijzonder nette cybercriminaliteit. Tegenwoordig hoeven potentiële aanvallers niet eens hun eigen ransomware te maken; ze kunnen het gewoon op het darkweb kopen. Drake Bennett, verslaggever van Bloomberg-onderzoeken, schafte wat malware aan om te zien hoe gemakkelijk het was om een aanval uit te voeren.
REvil cyberaanval treft advocatenkantoor Hollywoodsterren
Het Amerikaanse advocatenkantoor 'Grubman Shire Meiselas & Sacks' dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en tal van andere sterren vertegenwoordigt is afgeperst nadat aanvallers data van cliënten wisten te stelen en systemen versleutelden.
Ransomware kosten "verdubbelen" bij betaling aan cybercriminelen
Als een organisatie losgeld betaalt na een aanval met gijzelsoftware (ransomware), dan bedragen de herstelkosten gemiddeld 1,3 miljoen euro. Wordt er niet betaald, dan kost de aanval een bedrijf 'slechts' 675.000 euro. Dit blijkt uit een internationaal onderzoek van cybersecurity-specialist 'Sophos'.
Schade door ransomware bij it-dienstverlener tussen 50 tot 70 miljoen dollar
De Amerikaanse it-dienstverlener Cognizant die in april door de Maze-ransomware werd getroffen schat dat de schade door de aanval 50 tot 70 miljoen dollar zal bedragen. Dat liet het bedrijf bij de presentatie van de cijfers over het eerste kwartaal van dit jaar weten (zie hier onder). Waar de schade precies uit bestaat is nog niet bekendgemaakt. Mogelijk wordt dit in de cijfers over het tweede kwartaal vermeld.
LockBit-ransomware automatiseert zoektocht voor cybercriminelen
Aanvallen met ransomware gaan in 2020 onverminderd door. Hetzelfde geldt voor de ontwikkelingen in deze lucratieve vorm van malware. Daarmee maken deze het slachtoffers bovendien steeds moeilijker om géén losgeld te betalen. Alle nieuwste mogelijkheden op dit gebied lijken terug te komen in de 'LockBit-ransomware'.
Cyberaanval treft tapijtproducent
Het Dendermondse bedrijf Desso is onderdeel van de Franse vloerbekledingsgroep Tarkett, die sinds vorige week getroffen is door een aanval op zijn IT-systemen.