Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.
Deze houding resulteerde in het vierde kwartaal van 2020 met een aanzienlijke daling van de gemiddelde losgeldbetalingen in vergelijking met het voorgaande kwartaal, zegt het ransomware-herstelbedrijf 'Coveware'.
Gegevens vernietigd
Maar een meer verraderlijk fenomeen is het vernietigen van gegevens, waarbij gegevens tijdens de aanval worden vernietigd waardoor bedrijven geen optie hebben om deze te herstellen zelfs als ze het losgeld betalen.
In het laatste kwartaal van 2020 zag Coveware een toename van het aantal meldingen waarbij hele clusters van servers met data vernietigd werden door een ransomware-aanvallen.
Meestal richten ransomware-aanvallen zich op back-upsystemen en versleutelen ze de machines. In deze gevallen viel er echter niets te herstellen en moesten de slachtoffers de systemen opnieuw opbouwen.
Aanvallers doen dit niet opzettelijk aangezien ze erop vertrouwen dat de bestanden versleuteld beschikbaar achter blijven want anders zouden de slachtoffers geen reden hebben om te betalen voor de decoderingstool.
"De toename van lukrake gegevensvernietiging heeft ertoe geleid dat sommige slachtoffers aanzienlijk gegevensverlies hebben geleden en hun bedrijfsonderbreking hebben verlengd terwijl ze worstelen om systemen helemaal opnieuw op te bouwen" aldus Coveware.
Deze incidenten kunnen het gevolg zijn van het feit dat minder bekwame aanvallers de aanval verpesten. Coveware sluit niet uit dat dit een trend is die zich dit jaar zou kunnen voortzetten.
Als de bovenstaande theorieën waar zijn kunnen de verkeerd afgehandelde aanvallen het werk zijn van nieuwelingen die gebruik maken van open ransomware-as-a-service (RaaS) diensten waarbij er geen acceptatie norm vereist wordt. Of het zijn cybercriminelen die overstappen naar aanvallen met ransomware zonder hulp van ervaren ransomware bendes.
Betalen of we lekken
Het bedreigen van slachtoffers met het lekken van gestolen gegevens om hen onder druk te zetten om te betalen is een wending die de nu reeds gestopte Maze-ransomware bende eind 2019 introduceerde.
Andere bendes in de ransomware business die het potentieel zagen voor hogere winsten van deze dubbele afpersingstactiek volgden dit voorbeeld en zetten zogenaamde 'leksites' op waar ze gegevens publiceren die waren gestolen van slachtoffers die het losgeld niet betaalden.
Zonder garantie dan enkel het woord van de aanvaller dat de gestolen gegevens niet zouden worden gepubliceerd stortten de getroffen bedrijven zich in het onderhandelden met de cybercriminelen en hoopten ze dat de cybercriminelen hun woord hielden na het betalen van het losgeld.
Uit de statistieken van Coveware lijkt het erop dat deze methode een deel van zijn kracht heeft verloren, aangezien de gemiddelde vraag naar losgeld met 34% daalde in het vierde kwartaal van 2020. Omgerekend in contanten is het een daling van $ 233.817 naar $ 154.108.
Kijkend naar de mediaanwaarde is de daling groter, namelijk 55% van $ 110.532 naar $ 49.450. Coveware zegt hierop dat deze "daling wordt toegeschreven aan het feit dat meer slachtoffers waarbij gegevens zijn buit gemaakt ervoor kozen niet te betalen."
Daar in tegen steeg het aantal ransomware-aanvallen in het vierde kwartaal samen met het dreiging van het lekken van gestolen gegevens, van 50% tot 70%.
Bedrijven hebben gelijk als ze hackers niet vertrouwen in het verwijderen van de gestolen gegevens als ze worden betaald, aangezien Coveware tekenen blijft zien dat dit niet in alle gevallen gebeurt.
Sterker nog, sommige bendes liegen over het exfiltreren van gegevens en verzinnen 'bewijs' alleen maar om de druk van een datalek op het slachtoffer te vergroten en een betaling af te dwingen.
Advies
Coveware raadt slachtoffers van ransomware aan om de hackers niet te betalen. Als ze dat doen, is er geen garantie dat hun gegevens veilig zijn, en kunnen ze onderstaande punten mogelijk verwachten:
- De gegevens worden mogelijk niet op geloofwaardige wijze vernietigd door de cybercriminelen. Slachtoffers moeten aannemen dat het kan worden verhandeld, verkocht, misplaatst of vastgehouden voor een tweede / toekomstige afpersingspoging.
- De bewaring van gestolen gegevens werd door meerdere partijen gehouden en was niet beveiligd. Zelfs als de dreigingsacteur na een betaling een hoeveelheid gegevens verwijdert, kunnen andere partijen die er toegang toe hadden, kopieën hebben gemaakt, zodat ze het slachtoffer in de toekomst kunnen afpersen.
- De gegevens kunnen sowieso opzettelijk of per abuis worden gepubliceerd voordat een slachtoffer zelfs maar kan reageren op een afpersingspoging.
- Volledige records van wat er is gestolen worden mogelijk niet door de cybercriminelen geleverd, zelfs als deze expliciet beloven dergelijke gegevens na betaling te verstrekken.
Hoewel het gemiddelde aantal losgeld betalingen is afgenomen in de afgelopen vier maanden, blijven spraakmakende ransomware-operators veel geld ontvreemden van zorgvuldig geselecteerde slachtoffers.
De top 10 ransomware type aanvallen
Volgens statistieken van Coveware domineren RaaS-operaties zoals Sodinokibi( REvil), Egregor en Ryuk het marktaandeel, waarbij bedrijven door phishing en gehackte RDP-verbindingen slachtoffer werden van ransomware.
Nieuwe soorten ransomware hebben eind vorig jaar de top tien van Coveware bereikt, zoals Conti, Suncrypt, Zeppelin, MedusaLocker. Sommigen van hen zullen zeer waarschijnlijk de activiteit binnenkort verhogen.
Ransomware type | Marktaandeel | |
---|---|---|
1 | Sodinokibi (REvil) | 17,5% |
2 | Egregor | 12.3 % |
3 | Ryuk | 8,7 % |
4 | Netwalker | 6,0% |
5 | Maze | 5.2% |
6 | Conti versie 2 | 4,8% |
7 | DopplePaymer | 4.0% |
8 | Conti | 2,4% |
8 | Suncrypt | 2,4% |
8 | Zeppelin | 2,4% |
9 | Avaddon | 2,0% |
9 | Phobos | 2,0% |
9 | Nephilim | 2,0% |
9 | MedusaLocker | 2,0% |
9 | Locbit | 2,0% |
10 | Globelmposter 2.0 | 1,6% |
Top 10: marktaandeel van de ransomware-aanvallen
Meer informatie over nieuwe vormen en varianten van ransomware kun je lezen in ons wekelijks ransomware overzicht die elke maandag op cybercrimeinfo wordt gepubliceerd.
Bron: coveware.com, bleepingcomputer.com
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
57 miljoen euro schade door Ransomware aanval
Het Noorse aluminium bedrijf 'Hydro' die op 19 maart door ransomware werd getroffen is door het incident in de eerste helft van dit jaar een bedrag van tussen de 57 en 67 miljoen euro verloren. Dat heeft het bedrijf bij de publicatie van de cijfers over het tweede kwartaal bekendgemaakt.
Asco: "De schade loopt in de miljoenen euro's"
Het bedrijf kan na de cyberaanval met ransomware vanaf maandag weer ongeveer op volle toeren draaien.
Ontsleutel software nu beschikbaar voor Ransom GandCrab 5.2
Er is een gratis decryptietool voor de nieuwste versie van de GandCrab-ransomware verschenen waarmee slachtoffers kosteloos hun bestanden kunnen terugkrijgen.
Luchtvaartbedrijf ASCO Zaventem getroffen door Ransomware, 1.000 medewerkers tijdelijk werkeloos
ASCO Zaventem, dat vliegtuigonderdelen maakt voor onder meer Boeing en Airbus, is gehackt. De productie ligt zeker stil tot woensdagavond, meer dan duizend werknemers kunnen daardoor niet aan de slag. Ook andere vestigingen van het bedrijf zijn getroffen. “De autoriteiten zijn ingelicht en hebben ICT-professionals aangesteld om het incident verder te onderzoeken”, aldus het bedrijf.
Microsoft herhaalt advies: update Windows 7 en XP omwille van gijzelsoftware
Microsoft drukt gebruikers van Windows 7 en XP op het hart om hun systemen te updaten. Een beveiligingslek dat een nieuwe situatie zoals met WannaCry kan creëren, is gedicht, maar naar schatting zijn een miljoen systemen nog vatbaar voor de worm.
Alles is weg: autogarage is slachtoffer van gijzelsoftware (ransomware)
Goed ziek is ondernemer Peter Schoolderman uit Zutphen ervan. De computers van zijn autobedrijf zijn aangevallen door cybercriminelen. Van klantgegevens en facturen tot de agenda en vakanties van zijn personeel: alles wat er op zijn computers staat is versleuteld en dus onzichtbaar. (Ransomware)
Ransomware infecteert hoofdstad staat New York
Systemen van de Amerikaanse stad Albany, hoofdstad van de staat New York, zijn afgelopen weekend met ransomware besmet geraakt. De beveiligingssoftware van de stad, die 98.000 inwoners telt, ontdekte de ransomware. Vanwege de infectie werden burgers die huwelijks-, geboorte- en overlijdenscertificaten wilden aanvragen naar een andere stad doorgestuurd. Ook vergunningsaanvragen kon de stad niet meer afhandelen.
Steeds vaker betalen bedrijven die getroffen zijn door Ransomware
Een Amerikaans district heeft criminelen 400.000 dollar betaald om alle systemen te ontsleutelen die door ransomware besmet waren geraakt. Het 67.000 inwoners tellende Jackson County in de Amerikaanse staat Georgia werd vorige week door de "Ryunk" ransomware getroffen.
Ontsleutel-software voor slachtoffers nieuwste versie GandCrab-ransomware beschikbaar
Slachtoffers van de nieuwste versie van de GandCrab-ransomware kunnen nu gratis hun bestanden ontsleutelen. De Roemeense politie heeft in samenwerking met anti-virusbedrijf Bitdefender en Europol een tool ontwikkeld waarmee slachtoffers hun bestanden kosteloos kunnen terugkrijgen.
Ransomware Anatova maakt slachtoffers in Nederland
mcafee.com
Nederlandse bedrijven getroffen door nieuwe Ransomware, Cybercriminelen eisen 10.000 euro’s
Maar dat is waarschijnlijk nog maar het topje van de ijsberg. Er is namelijk niet bekend hoeveel mensen de gijzeling op een andere manier hebben opgelost, bijvoorbeeld door losgeld te betalen of door de besmetting zelf op te lossen.
Bescherm je computer beter tegen gijzelingssoftware
Een nieuwe variant van de ransome software 'Grand Crab' heeft de kop opgestoken. Deze ransomware is, net zoals veel andere soorten malware bekend bij de politie. Digitale devices, zoals uw pc en tablet, kunnen worden besmet met deze gijzelsoftware. De politie adviseert u tegen ransomware te wapenen door altijd goed te kijken op welke bestanden u klikt. Vaak ontvangt u deze bestanden via mail, "zogenaamd" van een bekende of een organisatie. Ook kan het helpen om altijd gelijk updates te installeren en back-ups te maken van de gegevens van uw computer.