De afgelopen vijf jaar heeft ransomware zich ontwikkeld van een dreiging voor individuele computers tot een serieus gevaar voor netwerken van bedrijfsnetwerken. Cybercriminelen zijn gestopt met het simpelweg proberen infecteren van zo veel mogelijk computers en richten zich nu juist op grotere slachtoffers. Aanvallen op commerciële organisaties en overheidsinstellingen vereisen zorgvuldige planning en kunnen in potentie leiden tot opbrengsten die oplopen tot tientallen miljoenen euro’s.
Ransomware-bendes benutten de financiële macht van bedrijven, die vaak veel groter is dan die van gewone gebruikers. Bovendien stelen moderne ransomware-groepen de gegevens voordat ze die versleutelen, waardoor er ook nog eens sprake is van de dreiging van publicatie van diezelfde gegevens als extra pressiemiddel. Voor het getroffen bedrijf zorgt dit voor allerlei extra risico’s, van reputatieschade tot problemen met belanghebbenden en boetes van regulerende instanties, die vaak nog hoger uitvallen dan het geëiste losgeld.
Volgens onze gegevens was 2016 een breukjaar. In slechts een paar maanden werd het aantal ransomeware-aanvallen op organisaties verdrievoudigd: terwijl er in januari 2016 nog sprake was van gemiddeld één incident per 2 minuten, was dit tijdsbestek eind september ingekort tot 40 seconden.
Sinds 2019 hebben experts regelmatig gerichte campagnes gezien van een reeks zogenoemde big-game-hunting ransomware. De bedieners van de malware bezitten sites die aanvalsstatistieken laten zien. Wij hebben die gegevens gebruikt om een ranking samen te stelling van de actiefste groepen cybercriminelen.
1. Maze (ook wel ChaCha-ransomware)
Maze-ransomware werd in 2019 voor het eerst gespot en steeg al snel naar de top van zijn malware-klasse. Deze ransomware was verantwoordelijk voor meer dan een derde van het totale aantal aanvallen op slachtoffers. De groep achter Maze was een van de eerste om gegevens te stelen voordat ze overgingen op versleuteling. Als het slachtoffer weigerde het losgeld te betalen, dreigden de cybercriminelen om de gestolen bestanden openbaar te maken. Deze techniek bleek effectief te zijn en werd later overgenomen door tal van andere ransomware-operaties, inclusief REvil en DoppelPaymer, die we hieronder bespreken.
Een andere innovatie was dat cybercriminelen begonnen met het rapporteren van hun aanvallen aan de media. Eind 2019 vertelde de Maze-groep Bleeping Computer over hun hack van het bedrijf Allied Universal, waar ze een aantal van de gestolen bestanden bijvoegden als bewijs. In de e-mailcorrespondentie met de redacteurs van de website dreigde de groep om spam vanaf de servers van Allied Universal te versturen, en later publiceerden ze de vertrouwelijke gegevens van het gehackte bedrijf op het Bleeping Computer-forum.
De Maze-aanvallen gingen door tot september 2020, toen de groep zijn operaties wat begon af te bouwen, maar niet voordat er verschillende internationale ondernemingen, waaronder een staatsbank in Latijns-Amerika en een informatiesysteem van een Amerikaanse stad al slachtoffer waren geworden van hun activiteiten. In elk van die gevallen eiste de Maze-groep meerdere miljoenen dollars van de slachtoffers.
2. Conti (ook wel IOCP-ransomware)
Conti verscheen eind 2019 en was in heel 2020 erg actief, en zorgde voor 13% van alle ransomware-slachtoffers gedurende deze periode. De makers ervan zijn nog altijd actief.
Een interessant detail van de Conti-aanvallen is dat de cybercriminelen het doelbedrijf aanbieden om ze met hun beveiliging te helpen in ruil voor het betalen van losgeld, waarbij ze zeggen “Jullie krijgen instructies over hoe jullie het gat in de beveiliging kunnen dichten en dit soort incidenten in de toekomst kunt voorkomen, en we raden speciale software aan die de meeste problemen veroorzaakt voor hackers.”
Net als bij Maze versleutelt de ransomware niet alleen de bestanden, maar wordt er ook een kopie van de gehackte systemen naar de ransomware-operators verzonden. De cybercriminelen dreigden vervolgens om de informatie online te publiceren als de slachtoffers niet aan hun eisen voldeden. Een van de meest spraakmakende Conti-aanvallen was de hack van een school in de Verenigde Staten, gevolgd door een losgeldeis van $ 40 miljoen. (Het bestuur zei dat ze bereid waren geweest om $ 500.000 te betalen, maar niet tachtig keer zo veel.)
3. REvil (ook wel Sodin, Sodinokibi-ransomware)
De eerste aanvallen van REvil-ransomware werden begin 2019 in Azië gedetecteerd. De malware trok al snel een hoop aandacht van experts vanwege de technische bekwaamheid, met onder andere het gebruik van legitieme CPU-functies om beveiligingssystemen te omzeilen. Daarnaast bevatte de code de kenmerkende tekenen dat hij was gecreëerd om geleased te worden.
REvil-slachtoffers maken 11% van de totale statistieken uit. De malware trof bijna 20 bedrijfssectoren. Het grootste gedeelte van de slachtoffers zat in de hoek van engineering en productie (30%), gevolgd door financiën (14%), professionele en consumentendiensten (9%), juridisch (7%), en IT en telecommunicatie (7%). De laatste categorie was verantwoordelijk voor een van de meest spraakmakende ransomware-aanvallen van 2019, toen cybercriminelen verschillende MSP’s hackten en Sodinokibi onder hun klanten verspreidden.
De groep bezit momenteel het record voor de hoogste bekende losgeldeis: $ 50 miljoen van Acer in maart 2021.
4. Netwalker (ook wel Mailto-ransomware)
Netwalker is verantwoordelijk voor meer dan 10% van het totale aantal slachtoffers. Onder hun doelwitten vinden we logistieke giganten, industriële consortia, energiebedrijven en andere grote organisaties. In slechts een paar maanden tijd in 2020 vergaarden de cybercriminelen meer dan $ 25 miljoen.
De makers lijken vastberaden om ransomware naar de massa te brengen. Ze boden scammers aan om Netwalker te leasen in ruil voor een deel van de opbrengsten. Volgens Bleeping Computer zou het aandeel van de malware-distributeur kunnen oplopen tot 70% van het totale losgeldbedrag, maar dit soort regelingen betaalt hun partners over het algemeen veel minder uit.
Als bewijs van hun opzet publiceerden de cybercriminelen screenshots van grote geldoverschrijvingen. Om het leasing-proces zo makkelijk mogelijk te maken, zetten ze een website op om automatisch de gestolen gegevens te publiceren zodra de deadline voor het betalen van losgeld is vestreken.
In januari 2021 confisqueerde de politie dark web-middelen van Netwalker en werd de Canadees burger Sebastien Vachon-Desjardins beschuldigd van het verkrijgen van meer dan $ 27,6 miljoen door middel van afpersing. Vachon-Desjardins was verantwoordelijk voor het vinden van slachtoffers, het benutten van lekken en het loslaten van Netwalker op systemen. Deze politieactie heeft Netwalker waarschijnlijk effectief om zeep geholpen.
5. DoppelPaymer-ransomware
De laatste groep criminelen is DoppelPaymer, ransomware die voor ongeveer 9% van de slachtoffers zorgde in de totale statistieken. De makers hebben ook hun sporen achtergelaten met andere malware, waaronder de bank trojan Dridex en de inmiddels ter ziele gegane ransomware BitPaymer (ook wel FriedEx), die wordt beschouwd als een eerdere versie van DopplePaymer. Dus het totale aantal slachtoffers van deze groep ligt eigenlijk veel hoger.
Onder de commerciële organisaties die werden getroffen door DoppelPaymer vinden we fabrikanten van elektronica en auto’s, evenals een grote Latijns-Amerikaanse oliemaatschappij. DoppelPaymer richt zich vaak op overheidsinstellingen over de hele wereld, met daaronder diensten op het gebied van zorg, noodgevallen en onderwijs. De groep kwam ook in het nieuws na het publiceren van informatie van stemmers die gestolen was van Hall County, Georgia, en het ontvangen van $ 500.000 van Delaware County, Pennsylvania, beide in de Verenigde Staten. DoppelPaymer voert tot op de dag van vandaag aanvallen uit: in februari van dit jaar meldde een Europees onderzoeksinstituut dat ze waren gehackt.
Gerichte aanvalsmethodes
Elke gerichte aanval op een groot bedrijf is het resultaat van een lang proces waarin wordt gezocht naar kwetsbaarheden in de infrastructuur, een scenario wordt ontworpen en de juiste tools worden geselecteerd. Vervolgens vindt de penetratie plaats en wordt de malware over de bedrijfsinfrastructuur verspreid. Cybercriminelen blijven soms meerdere maanden in een bedrijfsnetwerk zitten voordat ze bestanden daadwerkelijk versleutelen en losgeld eisen.
De belangrijkste toegangspaden tot de infrastructuur zijn de volgende:
- Slecht beveiligde verbindingen voor externe toegang. Kwetsbare RDP-verbindingen (Remote Desktops vormen zo’n veelvoorkomende manier om malware te verspreiden dat groepen op de zwarte markt hun diensten aanbieden om die te benutten. Terwijl een groot deel van de wereld de overstap maakte naar thuiswerken, steeg de hoeveelheid van dit soort aanvallen gigantisch. Dit is de modus operandi van Ryuk, REvil en andere ransomware-campagnes;
- Kwetsbaarheden in serverapplicaties. Aanvallen op de server-side software biedt cybercriminelen toegang tot de meest gevoelige informatie. Een recent voorbeeld daarvan zagen we in maart, toen de ransomware DearCry aanviel via een zero-day-kwetsbaarheid in Microsoft Exchange. Onvoldoende beveiligde server-side software kan als toegangspunt voor een gerichte aanval dienen. Er duiken ook beveiligingsproblemen op in zakelijke VPN-servers, waarvan we vorig jaar al voorbeelden zagen;
- Botnet-gebaseerde levering. Om nog meer slachtoffers te bereiken en de opbrengsten te verhogen, gebruiken de bedieners van ransomware ook botnets. Zombienetwerk-operators bieden andere cybercriminelen toegang tot duizenden gecompromitteerde apparaten, die automatisch op zoek gaan naar kwetsbare systemen om daar ransomware op te downloaden. Zo wordt bijvoorbeeld de ransomware van Conti en DoppelPaymer verspreid;
- Supply-chain-aanvallen. De REvil-campagne is het beste voorbeeld van deze dreigingsvector: de groep infecteerde een MSP-aanbieder en verspreidde vervolgens ransomware naar de netwerken van hun klanten;
- Schadelijke bijlagen. E-mails met schadelijke macro’s in bijgevoegde Word-documenten vormen nog altijd een populaire optie voor het leveren van malware. Een van de boosdoeners uit de top 5, NetWalker, gebruikte schadelijke bijlagen om slachtoffers te strikken — de operators verzonden mailings met “COVID-19” in de onderwerpregel.
Hoe bedrijven beschermd kunnen blijven
- Train werknemers op het gebied van digitale hygiëne. Werknemers moeten weten wat phishing is en dat ze nooit op links mogen klikken in verdachte e-mails of bestanden mogen downloaden van dubieuze websites. Daarnaast is het belangrijk om sterke wachtwoorden te creëren, onthouden en bewaren. Organiseer regelmatig trainingen op het gebied van informatiebeveiliging. Dit niet alleen om het risico op incidenten te minimaliseren, maar ook om de schade te beperken in het geval dat aanvallers er toch in slagen om het netwerk te penetreren;
- Update regelmatig alle besturingssystemen en applicaties om maximale bescherming te garanderen tegen aanvallen via bekende kwetsbaarheden in software. Zorg ervoor dat u zowel de client-side als de server-side software updatet;
- Voer beveiligings-audits uit, controleer de beveiliging van uw apparatuur en hou goed bij welke poorten openstaan en toegankelijk zijn via het internet. Gebruik een veilige verbinding voor werk op afstand, maar houd er rekening mee dat zelfs VPN’s kwetsbaar kunnen zijn;
- Maak back-ups van bedrijfsgegevens. Het hebben van back-ups helpt niet alleen bij het beperken van downtime en het sneller herstellen van bedrijfsprocessen in het geval van een ransomware-aanval, maar komt ook goed van pas bij het herstellen van andere vervelende gebeurtenissen zoals hardware-storingen;
- Gebruik een professionele beveiligingsoplossing die gebruikmaakt van gedragsanalyses en anti-ransomware-technologieën;
- Zet een informatiebeveiligingssysteem in dat in staat is om afwijkingen in de netwerkinfrastructuur te herkennen, zoals pogingen om poorten af te tasten of verzoeken tot toegang van niet-standaard systemen. Maak gebruik van expertise van buitenaf als u geen in-house specialisten hebt die het netwerk in de gaten kunnen houden.