Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.
Deze houding resulteerde in het vierde kwartaal van 2020 met een aanzienlijke daling van de gemiddelde losgeldbetalingen in vergelijking met het voorgaande kwartaal, zegt het ransomware-herstelbedrijf 'Coveware'.
Gegevens vernietigd
Maar een meer verraderlijk fenomeen is het vernietigen van gegevens, waarbij gegevens tijdens de aanval worden vernietigd waardoor bedrijven geen optie hebben om deze te herstellen zelfs als ze het losgeld betalen.
In het laatste kwartaal van 2020 zag Coveware een toename van het aantal meldingen waarbij hele clusters van servers met data vernietigd werden door een ransomware-aanvallen.
Meestal richten ransomware-aanvallen zich op back-upsystemen en versleutelen ze de machines. In deze gevallen viel er echter niets te herstellen en moesten de slachtoffers de systemen opnieuw opbouwen.
Aanvallers doen dit niet opzettelijk aangezien ze erop vertrouwen dat de bestanden versleuteld beschikbaar achter blijven want anders zouden de slachtoffers geen reden hebben om te betalen voor de decoderingstool.
"De toename van lukrake gegevensvernietiging heeft ertoe geleid dat sommige slachtoffers aanzienlijk gegevensverlies hebben geleden en hun bedrijfsonderbreking hebben verlengd terwijl ze worstelen om systemen helemaal opnieuw op te bouwen" aldus Coveware.
Deze incidenten kunnen het gevolg zijn van het feit dat minder bekwame aanvallers de aanval verpesten. Coveware sluit niet uit dat dit een trend is die zich dit jaar zou kunnen voortzetten.
Als de bovenstaande theorieën waar zijn kunnen de verkeerd afgehandelde aanvallen het werk zijn van nieuwelingen die gebruik maken van open ransomware-as-a-service (RaaS) diensten waarbij er geen acceptatie norm vereist wordt. Of het zijn cybercriminelen die overstappen naar aanvallen met ransomware zonder hulp van ervaren ransomware bendes.
Betalen of we lekken
Het bedreigen van slachtoffers met het lekken van gestolen gegevens om hen onder druk te zetten om te betalen is een wending die de nu reeds gestopte Maze-ransomware bende eind 2019 introduceerde.
Andere bendes in de ransomware business die het potentieel zagen voor hogere winsten van deze dubbele afpersingstactiek volgden dit voorbeeld en zetten zogenaamde 'leksites' op waar ze gegevens publiceren die waren gestolen van slachtoffers die het losgeld niet betaalden.
Zonder garantie dan enkel het woord van de aanvaller dat de gestolen gegevens niet zouden worden gepubliceerd stortten de getroffen bedrijven zich in het onderhandelden met de cybercriminelen en hoopten ze dat de cybercriminelen hun woord hielden na het betalen van het losgeld.
Uit de statistieken van Coveware lijkt het erop dat deze methode een deel van zijn kracht heeft verloren, aangezien de gemiddelde vraag naar losgeld met 34% daalde in het vierde kwartaal van 2020. Omgerekend in contanten is het een daling van $ 233.817 naar $ 154.108.
Kijkend naar de mediaanwaarde is de daling groter, namelijk 55% van $ 110.532 naar $ 49.450. Coveware zegt hierop dat deze "daling wordt toegeschreven aan het feit dat meer slachtoffers waarbij gegevens zijn buit gemaakt ervoor kozen niet te betalen."
Daar in tegen steeg het aantal ransomware-aanvallen in het vierde kwartaal samen met het dreiging van het lekken van gestolen gegevens, van 50% tot 70%.
Bedrijven hebben gelijk als ze hackers niet vertrouwen in het verwijderen van de gestolen gegevens als ze worden betaald, aangezien Coveware tekenen blijft zien dat dit niet in alle gevallen gebeurt.
Sterker nog, sommige bendes liegen over het exfiltreren van gegevens en verzinnen 'bewijs' alleen maar om de druk van een datalek op het slachtoffer te vergroten en een betaling af te dwingen.
Advies
Coveware raadt slachtoffers van ransomware aan om de hackers niet te betalen. Als ze dat doen, is er geen garantie dat hun gegevens veilig zijn, en kunnen ze onderstaande punten mogelijk verwachten:
- De gegevens worden mogelijk niet op geloofwaardige wijze vernietigd door de cybercriminelen. Slachtoffers moeten aannemen dat het kan worden verhandeld, verkocht, misplaatst of vastgehouden voor een tweede / toekomstige afpersingspoging.
- De bewaring van gestolen gegevens werd door meerdere partijen gehouden en was niet beveiligd. Zelfs als de dreigingsacteur na een betaling een hoeveelheid gegevens verwijdert, kunnen andere partijen die er toegang toe hadden, kopieën hebben gemaakt, zodat ze het slachtoffer in de toekomst kunnen afpersen.
- De gegevens kunnen sowieso opzettelijk of per abuis worden gepubliceerd voordat een slachtoffer zelfs maar kan reageren op een afpersingspoging.
- Volledige records van wat er is gestolen worden mogelijk niet door de cybercriminelen geleverd, zelfs als deze expliciet beloven dergelijke gegevens na betaling te verstrekken.
Hoewel het gemiddelde aantal losgeld betalingen is afgenomen in de afgelopen vier maanden, blijven spraakmakende ransomware-operators veel geld ontvreemden van zorgvuldig geselecteerde slachtoffers.
De top 10 ransomware type aanvallen
Volgens statistieken van Coveware domineren RaaS-operaties zoals Sodinokibi( REvil), Egregor en Ryuk het marktaandeel, waarbij bedrijven door phishing en gehackte RDP-verbindingen slachtoffer werden van ransomware.
Nieuwe soorten ransomware hebben eind vorig jaar de top tien van Coveware bereikt, zoals Conti, Suncrypt, Zeppelin, MedusaLocker. Sommigen van hen zullen zeer waarschijnlijk de activiteit binnenkort verhogen.
Ransomware type | Marktaandeel | |
---|---|---|
1 | Sodinokibi (REvil) | 17,5% |
2 | Egregor | 12.3 % |
3 | Ryuk | 8,7 % |
4 | Netwalker | 6,0% |
5 | Maze | 5.2% |
6 | Conti versie 2 | 4,8% |
7 | DopplePaymer | 4.0% |
8 | Conti | 2,4% |
8 | Suncrypt | 2,4% |
8 | Zeppelin | 2,4% |
9 | Avaddon | 2,0% |
9 | Phobos | 2,0% |
9 | Nephilim | 2,0% |
9 | MedusaLocker | 2,0% |
9 | Locbit | 2,0% |
10 | Globelmposter 2.0 | 1,6% |
Top 10: marktaandeel van de ransomware-aanvallen
Meer informatie over nieuwe vormen en varianten van ransomware kun je lezen in ons wekelijks ransomware overzicht die elke maandag op cybercrimeinfo wordt gepubliceerd.
Bron: coveware.com, bleepingcomputer.com
Meer info over ‘ransomware’?
Tips of verdachte activiteiten gezien? Meld het hier of anoniem.
De meest gevreesde Ransomware versleutelingen
Netwalker in een ransomware die in september 2019 werd ontdekt. Het draagt een tijdstempel van eind augustus 2019. Netwalker is een bijgewerkte versie van Mailto die ontdekt werd door de onafhankelijk cybersecurity-onderzoeker en Twitter-gebruiker GrujaRS.
Spie International bevestigt ransomware aanval
Spie International is het slachtoffer geworden van cybercriminelen. Ze slaagde erin om de Nefilim-ransomware op het computernetwerk van het bedrijf te installeren. Inmiddels werken alle systemen weer en draait de productie weer als vanouds. Wel is er data buitgemaakt van diverse klanten.
Amerikaanse gemeente besluit tot betalen cybercriminelen
Eind juli werd de Amerikaanse stad 'Lafeyette' het slachtoffer van een ransomware aanval. Cybercriminelen hadden het stadsnetwerk geïnfecteerd en eisten € 38.000 euro voor het ontsleutelen van de bestanden.
Canon maakt ransomware aanvallen bekend aan werknemers
BleepingComputer heeft een screenshot ontvangen van een intern bericht dat door Canon naar medewerkers is gestuurd waarin de ransomware aanval wordt onthuld.
"Storing" bij Canon
Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.
Het businessmodel van 'Ransomware as a Service'
Vorige week werd Garmin slachtoffer van een ransomware aanval door de Russische hackers group Evil Corp. Dagenlang waren de diensten van Garmin onbereikbaar. Het is steeds makkelijker om dit soort aanvallen te doen omdat er zoiets bestaat als 'Ransomware as a Service' (RaaS).
Hackers groep Lazarus zet actief 'VHD-ransomware' in voor bedrijfsaanvallen
Door Noord-Korea gesteunde hackers groep Lazarus zet actief VHD-ransomware in tegen bedrijven, volgens een rapport dat gisteren is gepubliceerd door Kaspersky-onderzoekers.
"Naar schatting 538 miljoen euro bespaard aan ransom betalingen"
Het 'No More Ransom' Project viert vandaag zijn vierde verjaardag. Het project dat de Nederlandse politie, Europol en antivirusbedrijven Kaspersky Lab en McAfee in juli 2016 lanceerden bestaat inmiddels vier jaar.
Geen storing maar gijzelsoftware bij 'Garmin'
Het is al dagen niet mogelijk om sportactiviteiten te synchroniseren met de mobiele app 'Garmin Connect'. Dat geldt ook voor andere diensten van het bedrijf.
Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen
Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.
Klik en versleuteld is terug
In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.
Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"
Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.