Ransomware-aanvallen zijn de afgelopen jaren qua aantallen en intensiteit toegenomen. In 2021 werden steeds meer bedrijven doelwit en de verwachting is dat dit in 2022 alleen nog maar verder zal oplopen.
Deze alarmerende vaststelling illustreert dat ransomware één van de belangrijkste wapens in het arsenaal van cybercriminelen blijft en het dreigingslandschap blijft domineren. 2021 kan worden beschouwd als een symbolisch jaar voor wat betreft het aantal ransomware-aanvallen. 2022 doet daar niet voor onder. Dit jaar zorgen “rebound”-aanvallen - cyberaanvallen die zich van het ene bedrijf naar het andere verspreiden - samen met de opkomst van een nieuw bedrijfsmodel dat ontwikkeld is door kwaadwillenden, voor een zeer sterke toename van ransomware-aanvallen. Zo is de reden voor incident response engagement in 2020-2021, volgens een rapport van Vanson Bourne, in 79% van de gevallen ransomware. Het is daarom meer dan noodzakelijk dat bedrijven strategieën vaststellen en uitvoeren om te voorkomen dat deze aanvallen zich uitbreiden.
Aanvallers gebruiken steeds verfijndere technieken
Voorheen volgden kwaadwillenden een unieke methode: ze ontwikkelden hun eigen ransomware en lanceerden hun eigen aanvallen. Recentelijk hebben aanvallers een andere methode aangenomen: ransomware ontwikkelen en hun producten en diensten verhuren aan specialisten op het gebied van virtual forcible entry. Dit nieuwe en goed ingeburgerde Ransomware-as-a-Service-bedrijfsmodel stelt ransomware-experts in staat hun producten te ontwikkelen en te verbeteren. Het maakt hun partners, specialisten op het gebied van inbraak, productiever. Volgens het rapport van Vanson Bourne illustreert de besmettingsgraad van Conti deze uitbreiding van het RaaS-model perfect. Er werd vastgesteld dat Conti, Ryuk (28%), Everest (15%) en Lockbit 2.0 (10%) de meest virulente groepen zijn.
Dit RaaS-model maakt het mogelijk om ongestraft aanvallen in te zetten tegen grotere ondernemingen (omdat het moeilijk is om de oorsprong van een aanval te achterhalen) en door te dringen tot in de meest verfijnde beveiligingssystemen. Financiën en verzekeringen behoren tot de primaire doelen, gevolgd door diensten, handel en industrie.
Het RaaS-model heeft ook de weg vrijgemaakt voor een uitbreiding van afpersingsmethoden. Volgens Forrester nemen ransomware-aanvallen toe in intensiteit (elke 11 seconden vindt er een ransomware-aanval plaats) en zijn de eisen voor losgeld in slechts één jaar tijd met 300% gestegen. En ze blijven stijgen.
Hoewel het eisen van losgeld in ruil voor decryption keys nog steeds successen boekt, kiezen sommige bedrijven ervoor om niet te betalen. Deze bedrijven beschikken over effectieve verdedigingsmiddelen om hun gegevens te beschermen. Desondanks wisten de aanvallers een oplossing te vinden door misbruik te maken van de toegangstijd tot het netwerk van het gehackte bedrijf. Zo konden ze alle gevoelige gegevens buitmaken en naar hun eigen cloud overbrengen. Door deze strategie krijgen kwaadwillenden de situatie weer onder controle en herhalen zij hun dreigement door een nieuwe voorwaarde toe te voegen: als de bedrijven weigeren het losgeld te betalen, zullen al hun gevoelige gegevens op het internet worden verspreid. De bedrijven zien zich dan alsnog gedwongen het losgeld te betalen.
Kwaadwillenden lijken op alle scenario’s voorbereid te zijn. Zijn bedrijven echt gedoemd om het slachtoffer te worden van deze ransomware-aanvallen? Is er een manier om deze inbraken en ransomware te voorkomen?
Er is een manier om ransomware tegen te houden
Ondanks de toename van ransomware-aanvallen zijn er manieren waarop bedrijven de combinatie van productiviteitsverlies en het betalen van losgeld kunnen voorkomen. Verschillende stappen maken het mogelijk om de gevolgen van deze plaag te beperken. Het is allereerst van essentieel belang om back-ups te maken van gegevens die tijdens een aanval kunnen worden versleuteld. Vervolgens moet er een beroep worden gedaan op een bedrijf dat zich specialiseert in cloud backup om de gegevens en de gekloonde systemen te bewaren. Bedrijven kunnen, als er een aanval plaatsvindt, hun activiteiten zo dus voortzetten met herstelde gegevens en backups. De impact op het werk is dan minimaal en eventuele verliezen zijn volledig overkomelijk.
Om op de hoogte te blijven van mogelijke veranderingen in het landschap van cybercriminaliteit, moeten beveiligingsexperts bovendien voortdurend op hun hoede zijn. Ze moeten alle informatie aangrijpen die hen kan helpen met het perfectioneren van hun oplossingen. Dit is wat er in 2021 gebeurde, toen vertrouwelijke documenten en tools van Conti door een ontevreden partner openbaar werden gemaakt, waardoor de aanvalsmethoden en het bedrijfsmodel van de groep aan het licht kwamen. Hierdoor konden deskundigen de verzamelde gegevens gebruiken om een versterkt beveiligingssysteem te ontwerpen en te ontwikkelen. Dankzij deze oplossing worden klanten en beheerders onmiddellijk gewaarschuwd zodra er een aanval wordt gedetecteerd.
Het RaaS-bedrijfsmodel is niet volledig onstuitbaar. Kwaadwillenden kunnen, met frequente publicaties over aanvalsmethoden en andere manieren om deze ransomware-aanvallen te verijdelen, worden verslagen. Bedrijven moeten er echter voor zorgen dat ze hun beveiliging voortdurend versterken en waakzaam zijn. Uit een studie van Gartner is gebleken dat er rond 2025 nieuwe wetgevingen zullen worden ingevoerd om de betaling van losgeld voor ransomware, boetes en onderhandelingen te regelen. Gartner geeft aan dat 30% van de staten zich voorbereidt om dergelijke regelgeving aan te nemen, vergeleken met slechts 1% in 2021. De wil om ransomware te bestrijden is een dagelijkse zorg van bedrijven en overheden. Toch moet iedereen bewust blijven van de constante ontwikkeling van deze aanvallen zodat er meer verfijnde reactiemethoden ontworpen kunnen worden.
Bron: gartner.com, lemagit.fr, alistdaily.com, sophos.com, vansonbourne.com, dutchitchannel.nl
- Meer info over ransomware
- Bekijk alle vormen en begrippen
- Actuele aanvallen overzicht per dag
- Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
Cybercriminelen eisen €800.000 van gemeente Hof van Twente
De cybercriminelen die verantwoordelijk zijn voor de cyberaanval op de computersystemen van de gemeente Hof van Twente, eisen 50 bitcoin om alle bestanden weer toegankelijk te maken. Met de huidige koers komt dat neer op zo’n 800.000 euro. Als de gemeente weigert te betalen, dan maken ze de buitgemaakte gegevens openbaar (doxware).
Randstad slachtoffer van doxware en ransomware
Uitzendbureau Randstad is slachtoffer van een ransomware aanval en datadiefstal geworden, zo heeft het bedrijf vanavond via een persbericht bekendgemaakt (pdf).
Gemeente Hof van Twente getroffen door Ransomware: "Ze zijn vernietigd, niet meer terug te halen"
Systemen van de Overijsselse gemeente Hof van Twente zijn platgelegd door een cyberaanval, zo heeft de gemeente via de eigen website bekendgemaakt. Details over de aanval ontbreken nog, maar het lijkt om een aanval met ransomware te gaan. Gegevens op de servers van de gemeente zijn namelijk ontoegankelijk gemaakt.
REvil Ransomware lid “UNKN” undercover aan het woord
De ontwikkelaars van 'REvil ransomware' zeggen dat ze in één jaar tijd meer dan $ 100 miljoen (83 miljoen euro) hebben verdiend door grote bedrijven over de hele wereld uit verschillende sectoren af te persen.
'Downtime' kosten met betrekking tot ransomware zijn nu bijna 50 keer hoger dan het geldbedrag
Ransomware is opnieuw de meest voorkomende cyber dreiging voor het MKB (Midden en KleinBedrijf). 60% van de MSP’s meldt dat hun MKB-klanten vanaf het derde kwartaal van 2020 zijn getroffen door een ransomware-aanval. De impact van dergelijke aanvallen blijft daarnaast ook groeien, de gemiddelde kosten van de ontstane downtime zijn nu bijna zes keer hoger dan in 2018 en 94% hoger dan in 2019. De kosten zijn daarmee gestegen van ruim €39.000,- naar meer dan €230.000,-.
Ransomware losgeld betaling Nederlandse bedrijven het hoogste
Nederland scoort wereldwijd hoog wat betreft de bedragen die worden neergelegd bij ransomware aanvallen. Bedrijven in ons land betalen gemiddeld 1,45 miljoen euro losgeld en hebben daarmee de hoogste dwangsom, meldt security leverancier 'CrowdStrike' nu.
Zes getroffen ziekenhuizen met ransomware in een staat kregen hulp van de Nationale Garde
Gouverneur Phil Scott van de Amerikaanse staat Vermont heeft de 'Nationale Garde' van de staat ingezet om zes door ransomware getroffen ziekenhuizen te helpen. De zes ziekenhuizen en medische centra van het 'University of Vermont Health Network' raakten eind oktober besmet met ransomware.
Toename met 1200 procent detecties 'Emotet-malware' in periode juli tot september
Er is een enorme toename van 'Emotet-malware' aanvallen. Cybercriminelen maken gebruik van machines die door de malware zijn gehackt om meer malware-infecties en ransomware campagnes te lanceren.
FBI:"De recente cyberaanvallen op ziekenhuizen is nog maar het begin"
De recente cyberaanvallen op Amerikaanse ziekenhuizen is nog maar het begin. De Federal Bureau of Investigation (FBI), het ministerie van Volksgezondheid en het Cybersecurity and Infrastructure Security Agency (CISA) zeggen dat cybercriminelen zich voorbereiden op een golf aan ransomware-aanvallen. De hackers zijn volgens de veiligheidsinstanties uit op geld en geven niets om de gezondheid of veiligheid van patiënten. Gezondheidsinstellingen krijgen het advies om hun digitale beveiliging op te schroeven.
Moeten ook MKB IT-dienstverleners er nu echt aan gaan geloven?
Pas recent werd duidelijk dat een rechter in 2018 een vonnis heeft gewezen waarin een IT-dienstverlener de kosten grotendeels moest vergoeden die het gevolg waren van schade door een ransomware infectie. In de dagen nadat het vonnis bekend werd ontstonden verschillende discussies op LinkedIn en sites als Security.nl. De meningen liepen sterk uiteen: voor sommigen was het een onbegrijpelijke uitspraak, anderen verzuchtten dat er nu eindelijk eens opgetreden werd.
Ransomware-aanval in Duits ziekenhuis leidt tot dood van patiënt
Een persoon in een levensbedreigende toestand stierf nadat hij door een ransomware-aanval gedwongen was naar een verder weg gelegen ziekenhuis te gaan.
Update 3: Veligheidsregio (Noord- en Oost Gelderland) getroffen door Ransomware
Update 17-9-2020, 16.00 uur