Zijn er nieuwelingen die gebruik maken van 'open ransomware-as-a-service diensten' die onbedoeld gegevens vernietigen?

Gepubliceerd op 5 februari 2021 om 08:00

Steeds meer slachtoffers van ransomware verzetten zich tegen de afpersers en weigeren te betalen wanneer ze hun systeem kunnen herstellen met behulp van back-ups, ondanks het dreigementen van de hackers om de gestolen gegevens te lekken.

Deze houding resulteerde in het vierde kwartaal van 2020 met een aanzienlijke daling van de gemiddelde losgeldbetalingen in vergelijking met het voorgaande kwartaal, zegt het ransomware-herstelbedrijf 'Coveware'.

Gegevens vernietigd

Maar een meer verraderlijk fenomeen is het vernietigen van gegevens, waarbij gegevens tijdens de aanval worden vernietigd waardoor bedrijven geen optie hebben om deze te herstellen zelfs als ze het losgeld betalen.

In het laatste kwartaal van 2020 zag Coveware een toename van het  aantal meldingen waarbij hele clusters van servers met data vernietigd werden door een ransomware-aanvallen.

Meestal richten ransomware-aanvallen zich op back-upsystemen en versleutelen ze de machines. In deze gevallen viel er echter niets te herstellen en moesten de slachtoffers de systemen opnieuw opbouwen.

Aanvallers doen dit niet opzettelijk aangezien ze erop vertrouwen dat de bestanden versleuteld beschikbaar achter blijven want anders zouden de slachtoffers geen reden hebben om te betalen voor de decoderingstool.

"De toename van lukrake gegevensvernietiging heeft ertoe geleid dat sommige slachtoffers aanzienlijk gegevensverlies hebben geleden en hun bedrijfsonderbreking hebben verlengd terwijl ze worstelen om systemen helemaal opnieuw op te bouwen" aldus Coveware.

Deze incidenten kunnen het gevolg zijn van het feit dat minder bekwame aanvallers de aanval verpesten. Coveware sluit niet uit dat dit een trend is die zich dit jaar zou kunnen voortzetten.

Als de bovenstaande theorieën waar zijn kunnen de verkeerd afgehandelde aanvallen het werk zijn van nieuwelingen die gebruik maken van open ransomware-as-a-service (RaaS) diensten waarbij er geen acceptatie norm vereist wordt. Of het zijn cybercriminelen die overstappen naar aanvallen met ransomware zonder hulp van ervaren ransomware bendes.

Betalen of we lekken

Het bedreigen van slachtoffers met het lekken van gestolen gegevens om hen onder druk te zetten om te betalen is een wending die de nu reeds gestopte Maze-ransomware bende eind 2019 introduceerde.

Andere bendes in de ransomware business die het potentieel zagen voor hogere winsten van deze dubbele afpersingstactiek volgden dit voorbeeld en zetten zogenaamde 'leksites' op waar ze gegevens publiceren die waren gestolen van slachtoffers die het losgeld niet betaalden.

Zonder garantie dan enkel het woord van de aanvaller dat de gestolen gegevens niet zouden worden gepubliceerd stortten de getroffen bedrijven zich in het onderhandelden met de cybercriminelen en hoopten ze dat de cybercriminelen hun woord hielden na het betalen van het losgeld.

Uit de statistieken van Coveware lijkt het erop dat deze methode een deel van zijn kracht heeft verloren, aangezien de gemiddelde vraag naar losgeld met 34% daalde in het vierde kwartaal van 2020. Omgerekend in contanten is het een daling van $ 233.817 naar $ 154.108.

Kijkend naar de mediaanwaarde is de daling groter, namelijk 55% van $ 110.532 naar $ 49.450. Coveware zegt hierop dat deze "daling wordt toegeschreven aan het feit dat meer slachtoffers waarbij gegevens zijn buit gemaakt ervoor kozen niet te betalen."

Daar in tegen steeg het aantal ransomware-aanvallen in het vierde kwartaal samen met het dreiging van het lekken van gestolen gegevens, van 50% tot 70%.

Bedrijven hebben gelijk als ze hackers niet vertrouwen in het verwijderen van de gestolen gegevens als ze worden betaald, aangezien Coveware tekenen blijft zien dat dit niet in alle gevallen gebeurt.

Sterker nog, sommige bendes liegen over het exfiltreren van gegevens en verzinnen 'bewijs' alleen maar om de druk van een datalek op het slachtoffer te vergroten en een betaling af te dwingen.

Advies

Coveware raadt slachtoffers van ransomware aan om de hackers niet te betalen. Als ze dat doen, is er geen garantie dat hun gegevens veilig zijn, en kunnen ze onderstaande punten mogelijk verwachten:

  • De gegevens worden mogelijk niet op geloofwaardige wijze vernietigd door de cybercriminelen. Slachtoffers moeten aannemen dat het kan worden verhandeld, verkocht, misplaatst of vastgehouden voor een tweede / toekomstige afpersingspoging. 
  • De bewaring van gestolen gegevens werd door meerdere partijen gehouden en was niet beveiligd. Zelfs als de dreigingsacteur na een betaling een hoeveelheid gegevens verwijdert, kunnen andere partijen die er toegang toe hadden, kopieën hebben gemaakt, zodat ze het slachtoffer in de toekomst kunnen afpersen.
  • De gegevens kunnen sowieso opzettelijk of per abuis worden gepubliceerd voordat een slachtoffer zelfs maar kan reageren op een afpersingspoging.
  • Volledige records van wat er is gestolen worden mogelijk niet door de cybercriminelen geleverd, zelfs als deze expliciet beloven dergelijke gegevens na betaling te verstrekken.

Hoewel het gemiddelde aantal losgeld betalingen is afgenomen in de afgelopen vier maanden, blijven spraakmakende ransomware-operators veel geld ontvreemden van zorgvuldig geselecteerde slachtoffers.

De top 10 ransomware type aanvallen

Volgens statistieken van Coveware domineren RaaS-operaties zoals Sodinokibi( REvil), Egregor en Ryuk het marktaandeel, waarbij bedrijven door phishing en gehackte RDP-verbindingen slachtoffer werden van ransomware.

Netwalker dat onlangs in de VS is aangeklaagd en waarbij het darkweb platform in beslag is genomen door wetshandhavers is de volgende op de lijst, gevolgd door Maze, dat zijn plek verliest omdat het onlangs is gestopt.

Nieuwe soorten ransomware hebben eind vorig jaar de top tien van Coveware bereikt, zoals Conti, Suncrypt, Zeppelin, MedusaLocker. Sommigen van hen zullen zeer waarschijnlijk de activiteit binnenkort verhogen.

Ransomware type Marktaandeel
1 Sodinokibi (REvil) 17,5%
2 Egregor 12.3 %
3 Ryuk 8,7 %
4 Netwalker 6,0%
5 Maze 5.2%
6 Conti versie 2 4,8%
7 DopplePaymer 4.0%
8 Conti 2,4%
8 Suncrypt 2,4%
8 Zeppelin 2,4%
9 Avaddon 2,0%
9 Phobos 2,0%
9 Nephilim 2,0%
9 MedusaLocker 2,0%
9 Locbit 2,0%
10 Globelmposter 2.0 1,6%

Top 10: marktaandeel van de ransomware-aanvallen

Meer informatie over nieuwe vormen en varianten van ransomware kun je lezen in ons wekelijks ransomware overzicht die elke maandag op cybercrimeinfo wordt gepubliceerd.

Ransomware Payments Fall As Fewer Companies Pay Data Exfiltration Extortion Demands
PDF – 173,8 KB 306 downloads

Bron: coveware.com, bleepingcomputer.com

Meer info over ‘ransomware’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

De meest gevreesde Ransomware versleutelingen

Netwalker in een ransomware die in september 2019 werd ontdekt. Het draagt een tijdstempel van eind augustus 2019. Netwalker is een bijgewerkte versie van Mailto die ontdekt werd door de onafhankelijk cybersecurity-onderzoeker en Twitter-gebruiker GrujaRS.

Lees meer »

Spie International bevestigt ransomware aanval

Spie International is het slachtoffer geworden van cybercriminelen. Ze slaagde erin om de Nefilim-ransomware op het computernetwerk van het bedrijf te installeren. Inmiddels werken alle systemen weer en draait de productie weer als vanouds. Wel is er data buitgemaakt van diverse klanten.

Lees meer »

"Storing" bij Canon

Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.

Lees meer »

Het businessmodel van 'Ransomware as a Service'

Vorige week werd Garmin slachtoffer van een ransomware aanval door de Russische hackers group Evil Corp. Dagenlang waren de diensten van Garmin onbereikbaar. Het is steeds makkelijker om dit soort aanvallen te doen omdat er zoiets bestaat als 'Ransomware as a Service' (RaaS).

Lees meer »

Het Nederlands kenniscentrum watertechnologie en slachtoffer van Ransomware, heeft besloten niet te zeggen wat er betaald is aan cybercriminelen

Het Friese onderzoeksinstituut Wetsus heeft na overleg met de politie besloten om het bedrag dat aan een cybercrimineel werd betaald voor het ontsleutelen van bestanden niet bekend te maken. Begin februari raakte het netwerk van Wetsus via een "openstaande serverpoort" door niet nader genoemde ransomware besmet. Een dag na de infectie betaalde Wetsus het losgeld omdat dit goedkoper was dan het zelf herstellen van de systemen.

Lees meer »

Klik en versleuteld is terug

In de afgelopen maand hebben onderzoekers van Proofpoint een toename van e-mail-gebaseerde ransomware-aanvallen waargenomen waarbij ransomware al in de eerste fase werd gebruikt. Dit is opmerkelijk omdat de afgelopen jaren aanvallers de voorkeur gaven aan downloaders (doxware) in de eerste fase van een aanval.

Lees meer »

Betaal geen losgeld: "De kans is groot dat er bij de ontsleuteling tal van problemen opduiken"

Organisaties die door ransomware worden getroffen moeten het losgeld voor het ontsleutelen van hun bestanden niet betalen, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Het NCSC heeft vandaag een factsheet gepubliceerd waarin advies wordt gegeven om infecties door ransomware te voorkomen en wat organisaties in het geval van een besmetting kunnen doen.

Lees meer »