Volgens nieuwe cijfers van een toonaangevend cyberbeveiligingsbedrijf zijn ransomware-aanvallen jaar-op-jaar met 221% gestegen.Uit een onderzoek van de Britse NCC Group, blijkt dat er in juni 2023 434 aanvallen waren, vergeleken met 135 in dezelfde periode vorig jaar.
Volgens het Global Threat Intelligence-team van NCC Group wordt het hoge activiteitenniveau veroorzaakt door de exploitatie door Clop van de kwetsbaarheid in de MOVEit-software voor bestandsoverdracht.Er zijn ook consistent hoge activiteitsniveaus door groepen zoals Lockbit 3.0, en de opkomst van verschillende nieuwe groepen sinds mei.
De Russischtalige dreigingsactor Clop was verantwoordelijk voor 90 van de 434 aanvallen (21%) in juni, na de uitbuiting van een kwetsbaarheid voor SQL-injectie in MOVEit-software voor bestandsoverdracht, CVE-2023-34362, waardoor de groep deze fout kon gebruiken om privileges te escaleren en gevoelige gegevens te stelen.Dit volgt op een rustige periode voor Clop in mei, toen het verantwoordelijk was voor slechts twee aanvallen.
LockBit 3.0, de meest actieve dreigingsactor van 2023 tot nu toe, was verantwoordelijk voor 62 van de aanvallen, een daling van 21% ten opzichte van de 78 aanvallen in mei. 8base, een nieuwe dreigingsactor die in mei werd ontdekt, verhoogde de activiteit met 40 aanvallen (9%) in juni – waarmee het de op twee na meest actieve dreigingsgroep van juni was.Andere opvallende activiteiten waren 17 aanvallen van Rhysida en 9 aanvallen van Darktrace, twee ransomware-as-a-service (RaaS) groepen die voor het eerst werden waargenomen in mei 2023.
Noord-Amerika was de meest bestookte regio, goed voor meer dan de helft van de aanvallen in juni met 222 slachtoffers (51%) – exact hetzelfde totaal als in mei. Europa (27%) en Azië (9%) volgden met respectievelijk 116 en 40 slachtoffers.De industriesector was in juni het meest het doelwit met 143 van de totale aanvallen (33%), gevolgd door Consumer Cyclicals (12%) met 52 aanvallen en Technology (11%) met 48 aanvallen.
In juni haalde de exploitatie door bedreigingsacteur Clop van een kwetsbaarheid in de Progress Software-app MOVEit voor bestandsoverdracht, die door duizenden organisaties over de hele wereld wordt gebruikt, internationaal het nieuws. Een aantal organisaties waarvan de toeleveringsketens de MOVEit-app gebruiken, werd hierdoor getroffen door een datalek, waarbij gegevens van klanten en/of medewerkers werden gestolen.
Deze kwetsbaarheid is misbruikt om MOVEit MFT-servers te compromitteren en gegevens te exfiltreren en wordt momenteel getraceerd als CVE-2023-34362. Doelwitten waren onder andere grote merken, met aanvallen tegen bekende uitgevers, accountantskantoren, adviesbureaus, grote energiebedrijven en hogescholen.
.
In de afgelopen twee jaar heeft Clop misbruik gemaakt van vier kwetsbaarheden in apparaten die zouden leiden tot de inzet van Clop ransomware of exfiltratie van de gegevens van de slachtofferorganisatie.
Matt Hull, global head of threat intelligence bij NCC Group, zegt: “De aanzienlijke piek in ransomware-activiteit tot nu toe dit jaar is een duidelijke indicator van de veranderende aard van het bedreigingslandschap.De bekendere spelers, zoals Lockbit 3.0, laten geen tekenen zien van ophouden, nieuwere groepen zoals 8base en Rhysida laten zien waartoe ze in staat zijn en Clop heeft voor de tweede keer in slechts drie maanden tijd een grote kwetsbaarheid uitgebuit.Het is noodzakelijk dat organisaties waakzaam blijven en hun beveiligingsmaatregelen aanpassen om ze een stap voor te blijven.Wij raden organisaties die MOVEit File transfer software gebruiken ten zeerste aan om de recente patch toe te passen, aangezien deze kwetsbaarheid actief wordt uitgebuit.”
