Het aantal ransomware-aanvallen is in de afgelopen 12 maanden wereldwijd met bijna 40% toegenomen De impact van ransomware wordt het sterkst gevoeld in de Verenigde Staten, waar bijna de helft van de ransomware-incidenten het afgelopen jaar het doelwit was. Dat zijn enkele uitkomsten uit het ‘2023 ThreatLabz Ransomware-rapport’ vanZscaler
Organisaties in de kunst-, entertainment- en recreatiesector konden de grootste toename in ransomware-aanvallen, met een groei van meer dan 430%. De productiesector blijft de sector met de meeste doelwitten, goed voor bijna 15% van alle ransomware-aanvallen. Deze wordt gevolgd door de dienstensector, die vorig jaar ongeveer 12% van de totale hoeveelheid ransomware-aanvallen te verwerken kreeg. Er werden dit jaar 25 nieuwe ransomware-‘families’ geïdentificeerd die gebruikmaken van dubbele afpersing of afpersing zonder encryptie.
Het rapport van dit jaar volgt de aanhoudende toename van complexe ransomware-aanvallen en belicht recente ransomware-trends, waaronder de gerichtheid op overheidsinstanties en organisaties met een cyberverzekering, de groei van ransomware-as-a-service (RaaS) en afpersing zonder encryptie. Sinds april 2022 heeft ThreatLabz diefstallen van meerdere terabytes aan gegevens geïdentificeerd als onderdeel van verschillende succesvolle ransomware-aanvallen, die vervolgens werden gebruikt om losgeld af te persen.
Ransomware-as-a-Service heeft bijgedragen aan een gestage toename van geavanceerde ransomware-aanvallen”, zegt Deepen Desai, Global CISO en Head of Security Research, Zscaler. “Ransomware-auteurs blijven steeds vaker onder de radar door encryptieloze aanvallen te lanceren waarbij grote hoeveelheden gegevens exfiltreren. Organisaties moeten afstappen van het gebruik van legacy point-producten en in plaats daarvan migreren naar een volledig geïntegreerd zero trust-platform dat hun aanvalsoppervlak minimaliseert, compromittering voorkomt, de ontploffingsradius verkleint in het geval van een succesvolle aanval en data-exfiltratie voorkomt.”
De evolutie van ransomware wordt gekenmerkt door de omgekeerde relatie tussen de geavanceerdheid van de aanval en de drempel voor nieuwe cybercriminele groepen. De toetredingsdrempel is afgenomen, terwijl de cyberaanvallen geavanceerder zijn geworden, door de prevalentie van RaaS, een model waarbij bedreigers hun diensten verkopen op het dark web voor 70-80% van de ransomware-winst. Dit bedrijfsmodel is de afgelopen jaren steeds populairder geworden, zoals blijkt uit de frequentie van ransomware-aanvallen, die het afgelopen jaar met bijna 40% is toegenomen. Een van de meest opmerkelijke trends die samenviel met deze groei in 2023 was de groei van afpersing zonder encryptie, een stijl van cyberaanvallen waarbij de exfiltratie van gegevens prioriteit krijgt boven verstorende encryptiemethoden.
Toplanden doelwit van Ransomware
De Verenigde Staten waren het meest doelwit van ransomware-aanvallen met dubbele afpersing, met 40% van alle slachtoffers in deze regio. De volgende drie landen samen, Canada, het Verenigd Koninkrijk en Duitsland, hadden minder dan de helft van de aanvallen die gericht waren op Amerikaanse entiteiten. De meest voorkomende ransomwarefamilies die Zscaler ThreatLabz heeft gevolgd zijn BlackBasta, BlackCat, Clop, Karakurt en LockBit, die allemaal een aanzienlijke bedreiging vormen voor financieel verlies, gegevensinbreuken en operationele verstoring voor individuen en organisaties van elke omvang.
Het afgelopen jaar was de productiesector wereldwijd de meest getroffen marktsector, waar intellectueel eigendom en kritieke infrastructuur aantrekkelijke doelwitten zijn voor ransomware-groepen. Alle door Zscaler getraceerde ransomware-groepen waren het slachtoffer van bedrijven in deze sector, waaronder bedrijven die zich bezighouden met de productie van goederen voor sectoren als de auto-industrie, elektronica en textiel – om er maar een paar te noemen. Onderzoek van Zscaler wees uit dat de BlackBasta ransomware-familie met name geïnteresseerd was in productie-organisaties, waarbij deze bedrijven meer dan 26% van de tijd het doelwit waren.
Groeiende trends in ransomware
In 2021 observeerde ThreatLabz 19 ransomwarefamilies die dubbele of multi-extortion benaderingen gebruikten voor hun cyberaanvallen. Dit is sindsdien uitgegroeid tot 44 waargenomen ransomware-families. De reden dat dit soort aanvallen populair zijn, is dat aanvallers, nadat ze de gestolen gegevens hebben versleuteld, dreigen om de gegevens online te lekken om de druk op slachtoffers om te betalen verder op te voeren.
De toenemende populariteit van Encryptionless Extortion-aanvallen, waarbij het proces van versleuteling wordt overgeslagen, maakt gebruik van dezelfde tactiek van dreigen met het online lekken van gegevens van slachtoffers als ze niet betalen. Deze tactiek resulteert in snellere en grotere winsten voor ransomware bendes door het elimineren van software ontwikkelingscycli en decryptie ondersteuning. Deze aanvallen zijn ook moeilijker te detecteren en krijgen minder aandacht van de autoriteiten omdat ze geen belangrijke bestanden en systemen vergrendelen of de downtime veroorzaken die gepaard gaat met herstel. Daarom verstoren Encryptionless Extortion-aanvallen de bedrijfsactiviteiten van hun slachtoffers meestal niet, wat resulteert in lagere meldingspercentages. Oorspronkelijk begon de Encryptionless Extortion-trend met ransomware-groepen zoals Babuk en SnapMC. In het afgelopen jaar zagen onderzoekers een aantal nieuwe families deze tactiek overnemen, waaronder Karakurt, Donut, RansomHouse en BianLian
Ga naar 2023 ThreatLabz Ransomware Report om het volledige rapport te downloaden: 2023 ThreatLabz Ransomware Report.
