Wanneer een cyberdreiging in één jaar tijd 35 keer zo groot wordt en in dat tempo blijft doorgroeien in het volgende jaar, moeten bij elke organisatie de nekharen overeind gaan staan. Dit is precies wat er is gebeurd met ransomware. Cybercriminelen hebben het gemunt op organisaties uit iedere bedrijfssector en van iedere grootte.
Ransomware-as-a-Service (RaaS) en andere kit-achtige tools hebben de barriers of entry voor cybercriminelen verlaagd, waardoor zelfs beginnende aanvallers succesvol kunnen zijn tegen verspreide beveiligingsinfrastructuren. Monetaire technologie zoals bitcoin maakt het bovendien vrijwel onmogelijk voor autoriteiten om losgeldbetalingen te volgen. De hoeveelheid losgeld die aan ransomware groepen wordt betaald groeit exponentieel, en de verwachting is dat deze hoeveelheid – in steeds hoger tempo – verder zal groeien. Banken hebben de dreiging inmiddels onderkend en slaan grote hoeveelheden bitcoin in, zodat hun klanten in het geval van een aanval snel kunnen betalen om weer bij hun gehackte gegevens te kunnen.
Laten we dus eens dieper kijken naar ransomware: te beginnen met de enorme groeicurve die deze vorm van criminaliteit heeft doorgemaakt in de afgelopen tijd.
Een analyse van wereldwijde gegevens door FortiGuard Labs toonde een aanzienlijke toename in algemeneransomware-activiteit in de tweede helft van 2020, vergeleken met de eerste helft. Sterker nog, nadat FortiGuard Labs de activiteit voor alle signatures had onderzocht die het als ransomware geclassificeerd had, kwamen de onderzoekers tot de conclusie dat ransomware activiteit in december zeven keer zo hoog was als in juli 2020 (zie figuur 1).
Bedreigingsactoren hebben ontdekt dat het cryptolocken van kritieke systemen en het eisen van losgeld voor de decoderingssleutel een relatief eenvoudige manier is om geld af te persen van organisaties, ongeacht de grootte of de branche waartoe ze behoren. Deze meer gerichte en sinistere vorm van ransomware criminaliteit is bekend komen te staan als 'big game hunting'. Big game hunting was in 2020 een ware rage onder ransomware-bendes, en de grotere uitbetalingsbedragen die dergelijke methoden opleveren, zorgen er vrijwel zeker voor dat de trend niet snel zal verdwijnen.
Veel criminelen maakten gebruik van de verstoringen veroorzaakt door de COVID-19-pandemie om ransomware-aanvallen tegen organisaties in de gezondheidszorg in het bijzonder op te voeren. In oktober hebben de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Department of Health and Human Services en de FBI een gezamenlijk advies uitgebracht waarin Amerikaanse ziekenhuizen en gezondheidsdiensten worden gewaarschuwd voor verhoogde ransomware-activiteit waarbij TrickBot- en BazarLoader-malware betrokken zijn. Andere sectoren die ook zwaar werden aangevallen in ransomware-aanvallen in de tweede helft van 2020 waren zakelijke dienstverleners, consumenten dienstverleners, organisaties in de publieke sector en financiële dienstverleners.
De ransomware-activiteit die FortiGuard Labs en anderen in de tweede helft van 2020 waarnamen worden gekenmerkt door een aantal trends. Eén van de meest verontrustende was de gestage toename van ransomware-aanvallen waarbij gegevens werden geëxfiltreerd en de daaropvolgende dreiging om de gegevens vrij te geven als er geen losgeld werd betaald. Het gebruik van gegevensdiefstal als extra leverage in ransomware-campagnes kreeg begin 2020 pas tractie, maar was tegen het einde van het jaar al onderdeel van een meerderheid van de aanvallen.
De exploitanten van de grootste ransomware-varianten, waaronder Sodinokibi, Ryuk, Egregor en Conti, hebben vorig jaar allemaal gegevensexfiltratie geïmplementeerd als onderdeel van hun standaardactiviteiten. Sommige gerapporteerde incidenten waren (soms valse) claims van aanvallers van gegevensdiefstal om slachtoffers bang te maken en zo losgeld te laten betalen. In veel gevallen kwamen de aanvallers, als slachtoffers eenmaal betaald hadden om gestolen gegevens te laten verwijderen, terug op hun belofte en lekten of verkochten ze de gegevens toch aan anderen. Voor organisaties betekent de trend dat robuuste data back-ups alleen niet langer voldoende bescherming bieden tegen ransomware-eisen.