Cybercrime brengt meer geld op dan ooit. In een jaar waarin steeds meer bedrijven afhankelijk werden van hun digitale infrastructuur, zagen ook criminelen hun kans.
De gemiddelde hoeveelheid losgeld die voor een ransomware-aanval betaald werd is jaar over jaar met 171% gestegen. Dat moet blijken uit het Ransomware Threat Report van Unit 42, de onderzoeksgroep van beveiliger Palo Alto Networks. Het rapport is gebaseerd op cijfers uit 2020.
Waar er na een aanval met gijzelsoftware in 2019 gemiddeld 115.123 dollar betaald werd in de VS, Canada en Europa, gaat dat bedrag in 2020 stevig omhoog, naar gemiddeld 312,493 dollar. Er wordt dan ook veel meer gevraagd, noteert Unit 42. Criminelen vroegen het voorbije jaar tot 30 miljoen losgeld voor een ransomware-aanval, terwijl het hoogst gevraagde bedrag tussen 2015 en 2019 nog op 15 miljoen dollar lag. Gemiddeld wordt er zo’n 847.344 dollar aan losgeld gevraagd in de VS, Canada en Europa.
Voor alle duidelijkheid, criminelen krijgen zelden het bedrag dat ze vragen. Het voorbije jaar werd een maximum aan 10 miljoen dollar betaald voor een enkele ransomware-aanval, al is dat wel weer een stevige stijging tegenover een jaar eerder, toen was het hoogst betaalde bedrag nog 5 miljoen. Bedrijven die betalen, geven gemiddeld 312.493 dollar uit aan losgeld, maar Unit 42 wijst erop dat de werkelijke kosten meestal een pak hoger liggen, omdat je daar ook nog onderzoek en analyse, vaak door een derde partij, moet bijtellen.
Corona
Ransomware duikt al jaren op in de rapporten van beveiligers als een groeiende dreiging, maar lijkt het voorbije jaar wel erg stevig te zijn gegroeid. Daar zijn meerdere redenen voor, maar we kunnen het zoals verwacht ook deels op Covid-19 steken. In maart moesten een hele reeks bedrijven hals over kop overschakelen op thuiswerk. Die haast betekende vaak een mindere beveiliging voor het snel in elkaar gestoken netwerk, maar ook een grotere afhankelijkheid van digitale middelen. Wanhopige mensen betalen sneller, lijkt het credo, iets wat je ook zag aan het ontstellend aantal ziekenhuizen die in 2020 werden aangevallen.
Naast die omstandigheden tekent het rapport ook enkele nieuwe technieken op die nu ingang krijgen in het cybercrime-milieu, en die mensen moeten overhalen om sneller te betalen. Daarbij bijvoorbeeld ‘dubbele uitbuiting’, waarbij aanvallers niet alleen gegevens op bedrijfsnetwerken versleutelen, maar ze ook stelen. De bendes dreigen er dan mee de buitgemaakte info publiek te maken wanneer ze hun geld niet krijgen, iets wat ook bedrijven met de nodige back-ups en disaster recovery procedures in het nauw moet drijven.
Opvallend is dat dit soort uitbuiting voornamelijk van één ransomwarebende lijkt te komen die zich NetWalker noemt en zo’n 33% van alle lekken voor zijn rekening neemt. Unit 42 telt 113 bedrijven wiens gegevens vorig jaar door de groep op straat zijn gegooid.
Als we naar landen kijken, vinden we de slachtoffers van dit soort misdaad voornamelijk in de Verenigde Staten. In het land zagen 151 organisaties hun gestolen data gelekt, volgens het rapport. Daarmee steekt het ver uit boven de tweede, Canada (39) en de derde, Duitsland (met 26 slachtoffers). Ook in België telt Unit 42 vier organisaties wiens gegevens op leksites werden geplaatst.
Ryuk en Maze
Naast de genoemde Netwalker ziet het rapport een aantal grote ransomware-families die vorig jaar naam maakten. De belangrijkste uitschieter daarvan is waarschijnlijk Ryuk. Dat is de malware die in een al geplaagd jaar werd gebruikt om honderden Amerikaanse ziekenhuizen plat te leggen. Dichter bij ons dook de gijzelsoftware onder meer op in een aanval op de Franse IT-groep Sopra Steria. De aanvallers gebruiken daarbij vaak macro’s in phishingdocumenten om het bedrijf binnen te geraken en achterdeurtjes als TrickBot te installeren.
Daarnaast, en dan vooral bij grotere bedrijven, maakte ook de Maze-ransomware veel slachtoffers vorig jaar. Onder meer Cognizant en Canon zagen zich hiermee aangevallen. Ook die malware gebruikt phishingdocumenten in Microsoft Word of Excel en exploit kits om bedrijven binnen te geraken. Opvallend hier is dat de bende erachter vorig jaar enkele keren hun malware in een virtuele machine verpakten om detectie te omzeilen en ze makkelijker te installeren in verschillende omgevingen.
En dan is er nog WastedLocker, een van de nieuwere ransomwares die vorig jaar opdoken. Deze is vermoedelijk verantwoordelijk is voor de storingen bij Garmin. De bende achter de malware richt zich vooral op grotere bedrijven in onder meer de technologiesector, met bijhorende grotere losgeldbedragen. De malware zelf zou technologisch hoogstaand zijn en zich onder meer kunnen voordoen als een valse browser of software update.
Fout opgemerkt of meer nieuws? Meld het hier