Ransomware groeperingen worden steeds agressiever en brutaler concludeert securityprovider ESET in het meest recente Threat Report, met cijfers over het tweede trimester van 2021. Zo zijn er vaker ransomware-aanvallen met een vorm van dubbele afpersing, zoals ransomware groeperingen die dreigen DDoS-aanvallen op bedrijven te lanceren, medewerkers lastig te gaan vallen, of data te publiceren, indien de losgeldeis niet betaald wordt. Daarnaast kwam de Conti groep recent met een persbericht en publiek statement naar aanleiding van het terughacken van de FBI richting REvil. Hoewel het aantal ransomwareaanvallen nog steeds toe neemt, lijkt de groei wel te stabiliseren.
Dave Maasland, CEO bij ESET Nederland, belicht het huidige landschap: “Ransomware-bendes hebben ondertussen te veel schade aangebracht, ze hebben nog meer de aandacht getrokken van de rechtshandhaving. Op dit moment zitten we in een benarde situatie. De aanvallen nemen nog steeds toe, ze worden agressiever en het huidige beveiligingsniveau van bedrijven groeit niet hard genoeg mee. Het is noodzaak dat het bedrijfsleven zelf investeert in digitale veiligheid. Het bestuur van een organisatie moet verantwoordelijkheid nemen en vooral samenwerken met onder andere de politie als zij getroffen zijn. Dit probleem verdient meer aandacht dan dat het nu krijgt, juist ook in landelijke media voor het algemene publiek.”
Gedurende het tweede trimester waren er nog tal van andere ontwikkelingen gaande binnen het ransomware dreigingslandschap, schetst ESET. Zo werden nieuwe ransomwaregroeperingen ontdekt, zoals Lorenz, die de data van slachtoffers aanbiedt aan andere schadelijke actoren en ransomware-groeperingen mocht de losgeldeis niet ingewilligd worden. De activiteiten van deze groep zijn echter alweer geslonken. Een andere nieuwe naam is DarkRadiation, een ransomware groepering die zich specifiek richt op Linux OS en Docker. Daarnaast zagen we ook een aantal ’rebrandings‘. DoppelPaymer kreeg de naam Grief en SynAck werd El_Cometa.
Hoewel de hoeveelheid ransomware aanvallen gedurende het tweede trimester van 2021 stabiliseerde detecteerde ESET wel drie grote ransomware-pieken. De drie pieken zoals gezien in ESET’s observaties vonden plaats op 12 juni, 3 juli en 23 augustus. De eerste piek was toe te schrijven aan de Sodinokibi (REvil) groep en was voornamelijk gericht op de Verenigde Staten, hetzelfde geldt voor de tweede piek die daarnaast ook gericht was op Zuid-Afrika. Tijdens deze tweede piek werd actief misbruik gemaakt van de kwetsbaarheid in Kaseya’s IT-management software Virtual System Administrator, wat zorgde voor meer dan 1500 ransomware-aanvallen wereldwijd. De derde en laatste piek in het aantal ransomware-aanvallen gedurende het tweede trimester van 2021 was toe te schrijven aan BlackMatter.
Ransomware blijft een groeiend riscio. Zo waarschuwt Z-CERT, het Computer Emergency Response Team voor de Nederlandse zorg, voor een toename in het aantal ransomware-aanvallen op Europese zorginstellingen. Gedurende het tweede trimester van 2021 vonden er diverse grote aanvallen op de vitale infrastructuur en bij grote IT-dienstverleners plaats, zowel in het buitenland als in Nederland. De ransomware aanvallen op de Colonial Pipeline en Kaseya werden wereldnieuws, en bij de aanval op Kaseya werd 70 miljoen dollar gevraagd als losgeld, de hoogst bekende losgeld-eis tot nu toe. In Nederland werd onder andere Hoppenbrouwers getroffen. Nog vorige week werd een ransomware-affiliate groepering opgepakt bij een internationale politieoperatie naar aanleiding van aangifte bij een ransomware aanval op een multinational in Rotterdam in 2019. De gearresteerden werden in verband gebracht met meer dan 1800 ransomwareaanvallen, waaronder aanvallen op de vitale infrastructuur.
