Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.
Ransomware families
Een ransomware familie omvat alle ransomware, software die gegevens gijzelt voor geld, die afgeleid zijn van een (vaak) bekende technische werkwijze. Deze werkwijze wordt vervolgens vernoemd naar de groep die het ontwikkeld heeft. De meest veelvoorkomende ransomware families zijn volgens deze analyse gebaseerd op de GandCrab (78.5%), Babuk (7.61%) en Cerber (3.11%) ransomware.
Ransomware samples
Het onderzoek van VirusTotal is gebaseerd op ingestuurde ransomware samples uit 140 verschillende landen. Deze landen hebben gezamenlijk 80 miljoen samples ingediend, waarvan er ruim 1 miljoen door meerdere bronnen als ransomware zijn geïdentificeerd.
De analyse wijst uit dat er 130 ransomware families actief zijn die elkaar afwisselen in mate van populariteit. Hoe meer clusters er binnen een familie actief zijn, hoe breder de diversiteit van de gebruikte malware die op deze familie gebaseerd is. Ook gebruiken aanvallers uiteenlopende technieken, zoals botnet malware en Remote Access Trojans (RATs) om de ransomware bij hun doelwit te krijgen.
De meest veelvoorkomende ransomware familie is GandCrab (78.5%), op gepaste afstand gevolgd door Babuk, Cerber, Matsnu, Wannacry, Congur, Locky, Teslacrypt, Rkor, en Reveon. Ruim 95% van de geanalyseerde ransomware bestanden waren op Windows gericht, tegen slechts 2% voor Android
De top twee families zijn oververtegenwoordigd omdat er tijdens de meetperiode grote aanvallen op basis van deze ransomware hebben plaatsgevonden. Zo was er een grote piek van GandCrab aanvallen in de eerste helft van 2020. Het gebruik van deze familie zakte hierna snel in. Een reden voor de brede inzet is dat de GandCrab ransomware als onderdeel van Ransomware-as-a-Service (RaaS) diensten wordt verkocht. GandCrab wordt op deze manier door veel criminele groepen op verschillende manieren ingezet en daarmee ook vaker teruggevonden bij analyse.
Landen onder zwaar vuur
Uit de analyse van VirusTotal blijkt verder dat van de 140 landen, de volgende landen het meeste last lijken te hebben van ransomware aanvallen: Israël, Zuid-Korea, Vietnam, China, Singapore, India, Kazakhstan, de Filipijnen, Iran, en het Verenigd Koninkrijk. Met name Israël springt er tussenuit, met ruim 600% meer ingediende samples dan normaal.
Laag risico hoge beloning
Ransomware is een 'low-risk, high reward' strategie die zowel door grote als kleine groepen criminelen kunnen worden ingezet. VirusTotal is dan ook van mening dat er regelmatig constant grote, opvallende ransomware campagnes zullen opduiken. Tegelijkertijd is er een constante stroom kleinere aanvallen die zelden stil ligt.
Een overzicht van de huidige aanvallen waarbij er data gelekt wordt op het darkweb kun je hier vinden. Het lekken van data door de cybercriminelen heeft twee redenen:
- Putting pressure: Druk zetten bij het slachtoffer zodat ze overgaan tot betaling voor alle data gepubliceerd wordt
- Punish: Als je niet betaald wordt alle data online gezet en kunnen hackers hun gang gaan om vervolgens nieuwe slachtoffers te maken, mogelijk klanten, partners of medewerkers
Bron: google.com, virustotal.com, vpngids.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Ransomware gerelateerde berichten
Logistiek bedrijf in Brabant betaalt losgeld na infectie door ransomware
De Brabantse logistiek dienstverlener 'Van der Helm Logistics' heeft cybercriminelen losgeld betaald nadat bestanden door de Lockbit-ransomware waren versleuteld. De realtimeback-ups waren ook door de ransomware versleuteld en de tapestreamer voor de tapeback-ups was kapot gegaan. Dat laat het bedrijf tegenover De Volkskrant weten.
Minister: "Door losgeld te betalen worden criminele activiteiten beloond en gestimuleerd"
Minister van Justitie en Veiligheid Ferd Grapperhaus vraagt verzekeraars om het losgeld dat cybercriminelen eisen bij ransomware niet langer te vergoeden. De minister is van mening dat de geleden schade als gevolg van het niet-betalen van het losgeld het uitgangspunt moet zijn van verzekeraars. Door het gevraagde losgeld te vergoeden, werken ze cybercriminaliteit in de hand.
2,3 miljoen dollar aan cybercriminelen betaald
Wisselkantoor Travelex betaalde 2,3 miljoen dollar aan cybercriminelen na een ransomware-aanval. De systemen van Travelex werden begin januari versleuteld door ransomware. Travelex heeft cyberecriminelen betaald om verloren data terug te krijgen blijkt uit bronnen van The Wall Street Journal.
Organisaties lopen flink risico om geraakt te worden door ransomware
Organisaties lopen flink risico om geraakt te worden door ransomware én de impact kan dan groot zijn. Dit geven IT’ers aan in het 2020-securityonderzoek van AG Connect ‘Reageren op ransomware’, wat is uitgevoerd vlak voordat de coronacrisis uitbrak in Nederland.
Grootste energiebedrijf van Portugal getroffen door ransomware
'Energias de Portugal (EDP)', het grootste energiebedrijf van Portugal, is op tweede paasdag getroffen door ransomware. De aanvallers claimen dat ze tien terabyte aan data van de servers van EDP hebben gestolen en dreigen die openbaar te maken tenzij het bedrijf 10 miljoen euro losgeld betaalt, zo melden beveiligingsonderzoekers Vitali Kremez en 'MalwareHunterTeam' op Twitter.
"Sterke toename van het aantal aanvallen met ransomware op ziekenhuizen" zegt Interpol
Er is een sterke toename van het aantal aanvallen met ransomware op ziekenhuizen en medische instellingen, zo stelt Interpol, dat zowel ziekenhuizen als politiediensten in 194 landen voor de verhoogde dreiging heeft gewaarschuwd.