In de eerste helft van 2023 hebben 48 ransomware-groepen samen meer dan 2.200 slachtoffers gemaakt. Dat blijkt uit onderzoek van cyberbeveiliger Check Point Software, dat van de gelegenheid gebruikmaakte om een top tien samen te stellen van de gevaarlijkste ransomware-groepen van dit moment.
Volgens Check Point werd liefst 66 procent van de organisaties wereldwijd het afgelopen jaar getroffen door een aanval met gijzelsoftware. In de eerste helft van 2023 werden Belgische bedrijven gemiddeld 901 keer geviseerd door dergelijke aanvallen. In veel gevallen zijn dezelfde criminele groepen verantwoordelijk voor het creëren, verspreiden en uitvoeren van deze ransomware.
Clop Ransomware
Clop is een van de meest actieve groepen die experts dit jaar hebben waargenomen, met ruim honderd aanvallen in alleen al de eerste vijf maanden. De groep lijkt een voorkeur te hebben voor organisaties met een omzet van meer dan vijf miljoen dollar. Geschat wordt dat Clop in totaal al voor zo’n 500 miljoen dollar aan losgeld heeft afgeperst. Naar aanleiding van Clop’s misbruik van een zeroday-kwetsbaarheid in de MOVEit transfer-app kondigde het Amerikaanse ministerie van Buitenlandse Zaken beloningen aan tot wel tien miljoen dollar voor informatie die een connectie tussen Clop en buitenlandse regeringen zou kunnen bevestigen.
Conti Ransomware
Deze eveneens zeer actieve groep opereert volgens het principe ‘ransomware-as-a-service’ (RaaS) en stelt minder ervaren cybercriminelen in staat om hun malware te gebruiken, mits ze Conti een deel van de winst geven. Wat de groep berucht heeft gemaakt, is een gebrek aan ethiek als het gaat om slachtoffers. Conti voerde bijvoorbeeld ransomware-aanvallen uit op grote gezondheidsorganisaties en eiste miljoenen dollars in ruil voor systeemherstel. Conti staat er ook om bekend bemachtigde data actief te lekken. In 2020 overspoelde de groep het internet met privégegevens van meer dan 150 bedrijven. Begin 2022 werd Conti echter zelf gehackt, nadat de bende zijn steun had uitgesproken voor de Russische inval in Oekraïne.
Darkside Ransomware
Net als Conti is Darkside ook een RaaS-groep, met het verschil dat Darkside zou weigeren om medische, educatieve of overheidsinstellingen aan te vallen. Maar dat maakt de groep niet minder gevaarlijk, zoals we zagen bij de Colonial Pipeline-dreiging in mei 2021. Naar verluidt jaagt Darkside vooral op kwetsbaarheden als zwakke wachtwoorden, directe RDP-verbinding (Remote Desktop Protocol) in plaats van VPN’s, onjuist geconfigureerde firewalls en het ontbreken van tweefactorauthenticatie (2FA).
ALPHV (BlackCat)
Deze bende staat bekend om creatieve ideeën. Zo gebruikt BlackCat de programmeertaal Rust, wat het ontwapenen van ransomware-aanvallen lastiger maakt dan voorheen. Een ander handelsmerk zijn zogeheten triple extortion-tactieken, inclusief DDoS-aanvallen. Dit jaar voerde de groep diverse inbraken uit bij luchthavens, olieraffinaderijen en andere kritieke infrastructuurproviders. De groep lijkt enigszins gerelateerd aan Darkside en werkte wellicht ook al samen met het REvil-kartel: meteen de hekkensluiter van deze top vijf.
REvil (Sodinokibi)
Deze groep wist in juli 2021 honderden managed serviceproviders (MSP’s) te infecteren met ransomware, tijdens de zogeheten Kaseya-aanval. Daarnaast hackte REvil tal van individuele entiteiten, gaande van Apple tot een nucleaire onderaannemer van de Amerikaanse overheid. In januari van datzelfde jaar, na diplomatieke druk, namen Russische autoriteiten de bezittingen van REvil in beslag, waaronder 426 miljoen roebel en enkele tientallen luxeauto’s. Dat weerhield de bende er echter niet van om de activiteiten in april van dat jaar alweer te hervatten. Ook REvil maakt gebruik van het RaaS-model. De groep staat erom bekend netwerktoegang te bieden aan partners, die de ransomware-aanvallen uitvoeren of namens REvil onderhandelen met slachtoffers.
LockBit
Volgens CISA was de ransomware van LockBit in 2022 de meest gedistribueerde variant ter wereld. De groep staat erom bekend zowel oudere als nieuwere kwetsbaarheden uit te buiten, zoals de Fortra GoAnywhere Managed File Transfer Remote Code Execution Vulnerability (CVE-2023-0669) en de PaperCut MF/NG Improper Access Control Vulnerability (CVE-2023-27350). Gebruikte tactieken en technieken omvatten drive-by compromittering, phishing en misbruik van openbaar toegankelijke applicaties en remote desktops (RDP’s).
Maze
Maze is berucht om het gebruik van dubbele afpersing. De groep heeft eerder grote ondernemingen aangevallen, waaronder Canon, LG en Xerox. Hoewel Maze naar verluidt is gestopt, hebben de verwoestende activiteiten van de groep een sjabloon gecreëerd voor andere ransomware-groepen. Maze blijft daarom tot op de dag van vandaag een grote invloed hebben.
Ryuk
In 2020 richtte Ryuk zich naar verluidt op honderden ziekenhuizen. De groep staat erom bekend niet alleen netwerkschijven en bronnen te versleutelen, maar ook de tijd te nemen om back-ups van de gegevens van de slachtoffers te vernietigen. Wanneer er geen externe back-ups zijn, kan herstel van een dergelijke aanval extreem moeilijk, zo niet onmogelijk zijn, vooral voor kleinere organisaties. Volgens de FBI maakte Ryuk in twee jaar tijd meer dan 60 miljoen dollar buit.
DoppelPaymer
De DoppelPaymer-hackers eisten doorgaans tussen de 25.000 en 17 miljoen dollar van hun slachtoffers, waaronder overheidsorganisaties en bedrijfsgroepen. Eerder dit jaar kondigde Europol aan dat de politie in Duitsland en Oekraïne twee leiders van DoppelPaymer had opgepakt. De autoriteiten zijn nog steeds op zoek naar drie andere leden. De groep heeft banden met Rusland en is mogelijk ook verbonden met de overheid.
Black Basta
Deze bende bestaat uit leden van Conti en REvil, en bedient zich van vergelijkbare tactieken, technieken en procedures. Met zeer bekwame en ervaren leden krijgt Black Basta vaak toegang tot bedrijven door ongepatchte kwetsbaarheden en openlijk beschikbare broncode uit te buiten. De groep dook voor het eerst op in 2022 en wist in de eerste paar maanden al negentien prominente bedrijven slachtoffer te maken, naast nog eens zeker honderd andere geslaagde aanvallen.
Fout opgemerkt of meer nieuws? Meld het hier