De grootste ransomware-aanvallen van 2021

Een van de vele naschokken van de COVID-19 pandemie is een piek in ransomware-aanvallen, omdat cybercriminelen profiteren van organisaties die overschakelen op werken op afstand. Het Internet Crime Complaint Center van de FBI meldde onlangs dat het aantal ransomware-aanvallen - een softwareaanval waarbij gegevens van mensen of organisaties worden gegijzeld totdat er losgeld wordt betaald - in 2020 met 20% is gestegen. De daaruit voortvloeiende verliezen zijn bijna verdrievoudigd ten opzichte van het jaar daarvoor.[i]Recente ransomware-aanvallen hebben geleid tot rundvleestekorten in supermarkten en lange rijen bij benzinestations, maar ook tot losgeldbetalingen van miljoenen dollars en invallen van rechtshandhavingsinstanties in cyberspace.

2021 Ransomware-aanvallen die de wereld op zijn kop zetten

De ransomware-aanvallen van dit jaar hebben veel organisaties getroffen, van politie-afdelingen tot autofabrikanten. Bedrijven zullen zelden toegeven dat ze ransomware hebben betaald (dat is in sommige landen illegaal) of dat ze zijn aangevallen, maar cybercriminelen plaatsen hun exploits vaak online om betaling af te dwingen.

Hier zijn enkele van de grootste ransomware-aanvallen van dit jaar, per sector:

• Automotive: Een grote autofabrikant werd getroffen door een IT-uitval die zijn activiteiten offline haalde. Hoewel het bedrijf ontkende dat ransomware de oorzaak was, plaatsten bloggers een bericht van een bekende cybergang, waarin 20 miljoen dollar losgeld werd geëist.
• Zakelijke diensten: Een adviesbureau verzweeg aanvankelijk dat het was aangevallen door een bende die beweerde 6 terabyte aan gegevens van zijn servers te hebben gelicht. De groep eiste 50 miljoen dollar losgeld en publiceerde enkele bestanden online om zijn gelijk te bewijzen.
• Voeding en landbouw: Een internationaal vleesverpakkingsconglomeraat heeft in juni korte tijd fabrieken gesloten en de levering van zijn producten aan kruideniers stopgezet. De leveringen werden hervat nadat het bedrijf losgeld van 11 miljoen dollar had betaald aan een organisatie die door de FBI is geïdentificeerd als een cybercriminaliteitssyndicaat.
• Healthcare: Een nationaal gezondheidssysteem werd platgelegd door een ransomware-aanval waardoor het personeel dagenlang met pen en papier moest werken en de dienstverlening maandenlang werd verstoord. Na 20 miljoen dollar losgeld te hebben geëist, hebben de aanvallers naar verluidt de ontcijferingssleutel gratis overhandigd, maar ze dreigden nog steeds vertrouwelijke informatie te publiceren als ze niet werden betaald.
• Verzekering: Een verzekeraar heeft 40 miljoen dollar losgeld betaald om de controle over zijn systemen terug te krijgen. Aangenomen wordt dat dit de grootste betaling van ransomware tot nu toe is.
• Rechtshandhaving: Een van de ergste ransomware-aanvallen tegen de politie was gericht tegen de politieafdeling van een grote Amerikaanse stad. Een cybergang eiste 4 miljoen dollar losgeld en gaf tuchtdossiers van de politie vrij.
• Olie en gas: Misschien wel de meest in het oog springende ransomware-aanval van 2021 was de inbraak bij een exploitant van een pijpleiding, waardoor de brandstofleveringen langs de oostkust van de Verenigde Staten korte tijd werden onderbroken en de rijen bij tankstations langer werden. De FBI haalde later 2,3 miljoen dollar terug van het losgeld dat was betaald aan de cybercriminele bende, die 75 Bitcoin (bijna 3 miljoen dollar) had geëist om de controle terug te geven aan het pijpleidingbedrijf.
• Tech: Een computerbedrijf werd getroffen door een poging tot afpersing van 50 miljoen dollar. De cybercriminelen plaatsten gevoelige documenten online om hun dreigement te staven en waarschuwden dat ze het gevraagde losgeld zouden verdubbelen als het niet snel werd betaald.

2021 Trends in Ransomware-aanvallen

Fraudeurs blijven zich ontwikkelen en veranderen hun tactiek bij elke aanval. Hieronder volgen enkele trends in ransomware-aanvallen van dit jaar.

• Ransomware as a service: Cybercriminelen hoeven niet eens meer hun eigen aanvallen te coderen. Misdaadsyndicaten hebben een nieuw bedrijfsmodel ontwikkeld waarbij kant-en-klare ransomware-aanvallen te koop worden aangeboden op het Dark Web. Sommige criminelen bieden zelfs klantenservice om klanten te helpen met hun exploits.
• Contactloze levering: Ouderwetse malware vereiste enige menselijke hulp om in te breken in netwerken, hetzij via gecompromitteerde inloggegevens, hetzij door een gebruiker te verleiden tot het downloaden van een kwaadaardig programma. Nu worden veel ransomware-aanvallen ook uitgevoerd met "wormen": dat is malware die gebruik maakt van een kwetsbaarheid of een achterdeur in softwarecode van vaak gebruikte apps om zijn werk te doen.
• Betalen of publiceren: Fraudeurs hebben de lat nog hoger gelegd door niet alleen gevoelige gegevens van een organisatie te wissen, maar ook te dreigen met publicatie of verkoop op het Dark Web als het losgeld niet wordt betaald.
• Aanvallen op de toeleveringsketen: Waarom het goed beveiligde systeem van een bedrijf aanvallen als het gemakkelijker is een van zijn leveranciers aan te vallen, die wellicht minder goed beschermd zijn? Cybercriminelen hebben succes geboekt met aanvallen op de toeleveringsketen, waarbij zij toegang tot hun doelwit krijgen via de in ongerede geraakte referenties van een leverancier of geïnfecteerde systemen.

Belangrijkste conclusies van 2021 Ransomware-aanvallen

Een van de belangrijkste conclusies voor 2021 is dat de stijgende kosten van schadevergoedingen en nieuwe overheidsinitiatieven om deze onder controle te krijgen, worden ingezien.

• Hoge kosten: De kosten van ransomware gaan verder dan de prijs van het losgeld en omvatten downtime, schadebeperkingskosten, stijgende verzekeringspremies en reputatieschade. Dergelijke schade door ransomware bedroeg gemiddeld 4,62 miljoen dollar in het Cost of a Data Breach Report 2021, waarbij mega-inbraken een prijskaartje droegen dat tot 100 keer hoger lag.[ii] De gemiddelde betaling voor ransomware klom in de eerste helft van 2021 tot 570.000 dollar, een stijging ten opzichte van 312.000 dollar, volgens de dreigingsinformatiegroep Unit 42.[iii] Zoals hierboven te zien is, lopen de grotere losgelden nu in de tientallen miljoenen dollars.
• Reactie van de overheid: Met de toename van het aantal ransomware-aanvallen is de Amerikaanse overheid alerter geworden op de dreiging, vooral omdat deze de infrastructuur van het land treft. Een aantal -aanvallen op onderzoeks- en gezondheidszorgfaciliteiten tijdens de COVID-19-pandemie maakte duidelijk dat essentiële functies moeten worden beschermd tegen ransomware-aanvallen. In slechts één reactie overweegt de Amerikaanse Senaat nu de Defense of United States Infrastructure Act, om de cyberbeveiliging binnen de infrastructuur van de natie te versterken.[iv] Ondertussen heeft de regering-Biden verschillende initiatieven aangekondigd, zoals een "zero trust" IT-architectuur voor federale agentschappen en hun contractanten.[v]

Wat bedrijven kunnen doen tegen geavanceerde ransomware-aanvallen

Het Economisch Wereldforum heeft cybercriminaliteit, en met name ransomware, een bedreiging voor de wereldeconomie genoemd, en beveelt een multistakeholderaanpak aan waarbij organisaties informatie delen en tests en opleidingen uitvoeren om aanvallen te voorkomen. In de VS heeft het Cybersecurity and Infrastructure Security Agency (CISA) na de hierboven beschreven aanval op pijpleidingen een reeks aanbevelingen gedaan om ransomware te voorkomen:[vi]

• Eis van werknemers en anderen dat zij multifactorauthenticatie (MFA) gebruiken om in te loggen op computers en netwerken.
• Schakel sterke spamfilters in om phishing-e-mails te screenen.
• Train gebruikers over ransomware-risico's via gesimuleerde phishing-aanvallen.
• Gebruik URL-blokkadelijsten om online verkeer te filteren.
• Update en patch software snel en regelmatig.
• Beperk de toegang tot bronnen via netwerken met toegang op afstand en eis MFA.
• Voer regelmatig antivirus/antimalware scans uit.
• Voorkom ongeoorloofde uitvoering door maatregelen zoals het beperken van de toepassingen en mappen die programma's kunnen uitvoeren, en door onbekende verbindingen te bewaken en te blokkeren.

Bescherming tegen geavanceerde ransomware-aanvallen

Het voorkomen van ransomware vereist een reeks oplossingen van verschillende leveranciers, geïntegreerd via API's voor eenvoudig beheer. Daaronder bevinden zich tools zoals Mimecast's die kwaadaardige URL's blokkeren, bescherming bieden tegen malwarebijlagen en bescherming bieden tegen impersonatieaanvallen die kunnen worden gebruikt om ransomware te leveren. De juiste gelaagde aanpak zal ook archiverings- en continuïteitsdiensten via de cloud aanbieden.

De kern van de zaak

Ransomware-aanvallen zijn in 2021 veel geraffineerder geworden en steeds kostbaarder voor organisaties. Cybercriminele bendes hebben nu meer manieren om hun inbreuken te benutten, waaronder de dreiging om gevoelige informatie te publiceren. Velen verkopen ook tools aan andere criminelen in ruil voor een deel van de losgeldbetalingen. Dit soort georganiseerde criminele activiteiten vraagt om een georganiseerde reactie. Bedrijven moeten proactief worden op het gebied van cyberbeveiligingstraining, het patchen en updaten van hun software en het implementeren van de juiste cyberbeveiligingstools.

[i] "Internet Crime Report 2020", Internet Crime Complaint Center.

[ii] "Cost of a Data Breach Report 2021," IBM en Ponemon

[iii] "Afpersingsbetalingen bereiken nieuwe records als Ransomware Crisis intensiveert," Palo Alto Networks Unit 42

[iv] "Rosen-Backed Cybersecurity and Wildfire Bills Advance Out of Senate Homeland Security Committee," U.S. Sen. Jacky Rosen

[v] "De Amerikaanse overheid gaat over op zero trust cyberbeveiliging. Dat zou u ook moeten doen," Security Boulevard

[vi] "DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks", Cybersecurity- en infrastructuurbeveiligingsagentschap