Het aantal ransomware-aanvallen steeg de afgelopen 12 maanden wereldwijd met 40%. Dit blijkt uit het jaarlijkse ThreatLabz Ransomware Report van Zscaleer. De evolutie van ransomware wordt gekenmerkt door de omgekeerde relatie tussen aanvalsverfijning en hoe hoog de lat ligt voor nieuwe cybercriminele groepen. Het wordt steeds makkelijker om cyberaanvallen uit te voeren. Maar deze zijn wel geavanceerder geworden dankzij Ransomware as a Service (RaaS).
RaaS is een model waarbij aanvallers hun diensten op het dark web verkopen voor 70-80% van de winst. Dit bedrijfsmodel is de afgelopen jaren steeds populairder geworden. Dit blijkt onder meer uit het aantal ransomware-aanvallen, dat het afgelopen jaar met bijna 40% is toegenomen. Een van de meest opvallende trends is de groei van encryptieloze afpersing, een aanvalsstijl die voorrang geeft aan data-exfiltratie boven encryptie.
VS belangrijkste target
De Verenigde Staten waren het vaakst doelwit van ransomware-aanvallen met dubbele afpersing. Maar liefst 40% van de slachtoffers bevindt zich in de VS. Canada, het Verenigd Koninkrijk en Duitsland, waren samen doelwit van iets minder dan 20% van de aanvallen. De meest voorkomende ransomwarefamilies die het ThreatLabz-team heeft gevolgd, zijn BlackBasta, BlackCat, Clop, Karakurt en Lockbit. Zij vormen allemaal een aanzienlijke dreiging voor financiële verliezen, datalekken en operationele verstoringen voor organisaties van elke omvang.
Criminelen richten zich op productiesector
Het afgelopen jaar was de productiesector wereldwijd de meest geraakte sector. Met name intellectueel eigendom en kritieke infrastructuur maken deze sector interessant voor ransomwarecriminelen. Alle ransomwarefamilies die door Zscaler zijn gevolgd, hebben slachtoffers gemaakt in deze sector. Hieronder bevinden zich bedrijven die zich bezighouden met de productie van goederen voor sectoren als de auto-industrie, de elektronica- en de textielmarkt, om er maar een paar te noemen. Het onderzoek wijst daarnaast uit dat vooral BlackBasta geïnteresseerd is in productieorganisaties. Zij richtte zich meer dan 26% van de tijd op dit soort bedrijven.
44 ransomwarefamilies
In 2021 observeerde ThreatLabz 19 ransomwarefamilies die dubbele of meervoudige afpersingsbenaderingen hanteerden. Dit aantal is sindsdien gegroeid tot 44 ransomwarefamilies. Dit soort aanvallen zijn populair omdat aanvallers, nadat ze de gestolen data hebben versleuteld, dreigen deze online te lekken om de druk op het slachtoffer om te betalen verder op te voeren. De toenemende populariteit van encryptieloze afpersingsaanvallen, waarbij het coderingsproces wordt overgeslagen, gebruikt dezelfde tactiek en dreigt data online te lekken als slachtoffers niet betalen. Deze tactiek resulteert in snellere en grotere winsten voor ransomwaregroepen door softwareontwikkelingscycli en decoderingsondersteuning te elimineren. Deze aanvallen zijn daarnaast moeilijker te detecteren en krijgen minder aandacht van autoriteiten omdat ze geen belangrijke bestanden en systemen vergrendelen of downtime veroorzaken. Encryptieloze afpersingsaanvallen verstoren de bedrijfsvoering van hun slachtoffers niet, wat resulteert in minder rapportage. Oorspronkelijk begonnen deze trends bij ransomwaregroepen zoals Babuk en SnapMC, maar het afgelopen jaar zien onderzoekers een aantal nieuwe families die ook deze tactiek toepassen, waaronder Karakurt, Donut, RansomHouse en BianLian.