2024 was een belangrijke mijlpaal in de strijd tegen ransomware. ESET-onderzoekers ontdekten nieuwe spelers die de beruchte, maar stervende ransomwaregroepen vervingen door agressieve ‘strategieën’ en tools te gebruiken om endpointbeveiliging uit te schakelen.
Om deze nieuwe bedreigingen het hoofd te bieden, moeten bedrijven voorbereid zijn met preventieve en gelaagde bescherming, zodat ze cybercriminelen altijd een stap voor zijn.
Onder de nieuwe spelers is RansomHub de meest opvallende, door zijn groei en tactieken. De groep maakte zijn eerste slachtoffer in februari 2024 en had in december een dominante positie in de wereld van ransomware ingenomen.
Zoals elke opkomende Ransomware as a Service (RaaS)-aanbieder moest RansomHub leden aantrekken. Om zijn “klanten” snel bijeen te hebben, mochten de leden 90% van het geïnde losgeld te behouden, garandeerde RansomHub de betalingen en bood het meerdere manieren om deel te nemen aan het RaaS-programma, waardoor zelfs beginnelingen hun kans konden wagen.
RansomHub postte verschillende updates en introduceerde, in mei 2024, zijn eigen Endpoint Detection and Response (EDR)-killer, een type malware ontworpen om de geïnstalleerde beveiligingsoplossing te stoppen, te blokkeren of te laten crashen, meestal door misbruik te maken van een kwetsbare driver. De EDR-killer van RansomHub, door Sophos EDRKillShifter genoemd, is een tool die het zelf ontwikkelde en onderhoudt. Dit staat haaks op de normale strategie van het hergebruiken of aanpassen van bestaande proof-of-concepts die online beschikbaar zijn of het gebruiken van EDR-killers die als service op het dark web beschikbaar zijn.
ESET-onderzoekers ontdekten dat één dreigingsactor over twee EDRKillShifter-samples beschikte die gelinkt waren aan ransomwaregroepen BianLian, RansomHub, Medusa en Play. Dit laat iets anders zien: bekwame medewerkers werken gelijktijdig voor meerdere operatoren, wat hun kwaadaardige mogelijkheden nog verder vergroot.
In 2023 detecteerde men wereldwijd 317,59 miljoen ransomware-aanvallen. De productie- en voedingsmiddelenindustrie waren het vaakst het doelwit. Volgens het 2024 Data Breach Investigations Report van Verizon was de combinatie van ransomware en andere vormen van afpersing tussen 2022 en 2024, goed voor 59% tot 66% van de financieel gemotiveerde aanvallen. Dit komt omdat die cybercriminelen geen reden hebben om de tactiek te wijzigen waarmee ze het hoogste rendement op hun investering behalen.
Nog erger dan het losgeld zijn de bedrijfsonderbreking en de angst voor ongehinderde toegang door kwaadwillende actoren. Na een succesvolle cyberaanval bedraagt het omzetverlies wegens dienstonderbrekingen en gemiste kansen gemiddeld 9% van de jaarlijkse bedrijfsomzet en daalt de aandelenkoers met ongeveer 2,5%. 47% van de organisaties die in 2024 te maken hadden met een cyberaanval, vond het moeilijker om nieuwe klanten aan te trekken en 43% gaf aan klanten verloren te hebben. Zoals blijkt uit het rapport ‘Cost of a Data Breach 2024’ van IBM, duurde het ongeveer 284 dagen om ransomware-aanvallen te identificeren en in te perken.
Deze aanvallen kunnen op verschillende wijze voorkomen worden. Het trainen van werknemers en AI zijn de belangrijkste. Door de grootschalige inzet van AI en de automatisering hebben bedrijven in 2024 gemiddeld 2,2 miljoen dollar bespaard. Krijgt een bedrijf binnen een periode van 10 jaar twee keer te maken met cyberaanvallen, dan bedragen de directe kosten voor het reageren hierop 17 miljoen dollar, vergeleken met 8 miljoen dollar in een proactieve scenario.
Om een kostenefficiënte beveiliging te ondersteunen, is het zinvol om de efficiëntie van bepaalde beveiligingsoplossingen na te trekken en zo te voorkomen dat ransomware en EDR-killers dure storingen in de bedrijfsvoering veroorzaken.
Met een proactieve, preventiegerichte aanpak verbetert ESET voortdurend haar oplossingen op basis van de nieuwste trends en ontdekkingen.