Check Point Software, leverancier van cyberbeveiligingsoplossingen, rangschikt de tien gevaarlijkste ransomwaregroepen van dit moment. In de eerste helft van 2023 hebben 48 ransomware-groepen meer dan 2.200 slachtoffers gemaakt, waarbij Lockbit3 het meest actief is en een toename van 20% in slachtoffers rapporteert ten opzichte van de eerste helft van 2022 waarin wereldwijd meer dan 236,1 miljoen ransomware-aanvallen plaatsvonden. Maar liefst 66% van de organisaties wereldwijd werden het afgelopen jaar getroffen door ransomware. In veel gevallen zijn dezelfde ransomwaregroepen verantwoordelijk voor het creëren, verspreiden en uitvoeren van deze ransomware.
Ransomware is een vorm van malware die de toegang van slachtoffers tot hun gegevens blokkeert totdat er losgeld wordt betaald. Hoewel het niet zo vaak voorkomt als phishing, is ransomware nog steeds een grote bedreiging voor individuen en organisaties wereldwijd. In 2021 werd meer dan een derde van de organisaties wereldwijd het slachtoffer van een poging tot ransomware-aanval.
In april van dit jaar was er nog een ransomware-aanval op het Brusselse kantoor van De Duitse Federale Orde van advocaten (BRAK), die toezicht houdt op 28 regionale balies in heel Duitsland en ongeveer 166.000 advocaten vertegenwoordigt op nationale en internationale schaal. In de eerste helft van 2023 werden Belgische bedrijven gemiddeld 901 keer geviseerd door ransomware-aanvallen.
Om een goede verdediging te kunnen opzetten is het belangrijk om te weten wie er achter de ransomware-aanvallen zit en hoe ransomwaregroepen opereren. Deze informatie kan helpen bij het versterken van de digitale infrastructuur. Daarom deelt Check Point de top 10 gevaarlijkste ransomwaregroepen van dit moment:
1. Clop Ransomware – Clop is een van de meest actieve ransomwaregroepen die experts dit jaar hebben waargenomen, met meer dan 100 aanvallen in alleen al de eerste vijf maanden van het jaar. De groep lijkt een voorkeur te hebben voor organisaties met een omzet van meer dan 5 miljoen dollar. Tot op heden wordt geschat dat Clop bedrijven in totaal voor meer dan $500 miljoen aan losgeld heeft afgeperst. Naar aanleiding van Clop’s misbruik van een zero-day kwetsbaarheid in de MOVEit Transfer-app, kondigde het Amerikaanse Ministerie van Buitenlandse Zaken beloningen aan tot wel 10 miljoen dollar voor informatie die een connectie tussen Clop en buitenlandse regeringen zou kunnen bevestigen.
2. Conti Ransomware – Een andere zeer actieve ransomwaregroep, Conti, opereert volgens het principe ‘ransomware-as-a-service’ (RaaS) en stelt minder ervaren cybercriminelen in staat om hun malware te gebruiken, mits ze Conti een deel van de winst geven. Wat Conti berucht heeft gemaakt, is een gebrek aan ethiek als het gaat om slachtoffers. De groep heeft eerder ransomware-aanvallen uitgevoerd op grote gezondheidsorganisaties en eist miljoenen dollars in ruil voor systeemherstel. Conti staat er ook om bekend bemachtigde data actief te lekken. In 2020 overspoelde de groep het internet met privégegevens van meer dan 150 bedrijven.
3. Darkside Ransomware – Net als Conti is Darkside ook een RaaS-groep. Naar verluidt weigert Darkside echter om medische, educatieve of overheidsinstellingen aan te vallen. Maar dat maakt de leden van Darkside nog steeds geen loze dreiging. De groep houdt zich bezig met ransomware-activiteiten voor winst, zoals we zagen bij de Colonial Pipeline dreiging in mei 2021. De kwetsbaarheden waar Darkside naar verluidt op jaagt, zijn zwakke wachtwoorden, directe verbinding met RDP in plaats van VPN’s, onjuist geconfigureerde firewalls en gebrek aan tweefactorauthenticatie.
4. ALPHV (BlackCat) – Deze ransomwarebende staat bekend om creatieve en “gekke” ideeën. Zo gebruikt de groep de programmeertaal Rust, wat het ontwapenen van ransomware-aanvallen ingewikkelder maakt dan voorheen. De groep staat ook bekend om triple extortion-tactieken, inclusief DDoS-aanvallen. Dit jaar heeft de groep diverse opvallende inbraken uitgevoerd, waaronder het hacken van luchthavens, olie-raffinaderijen en andere kritieke infrastructuurproviders. Deze groep is enigszins gerelateerd aan Darkside of kan een herlancering van Darkside zijn. Het lijkt er ook op dat BlackCat-hackers mogelijk eerder hebben samengewerkt met het REvil-kartel.
5. REvil a.k.a. Sodinokibi – Deze groep wist in juli 2021 honderden managed service providers (MSP’s) te infecteren met ransomware tijdens de Kaseya-aanval en heeft talloze andere individuele entiteiten gehackt, van Apple tot een nucleaire onderaannemer voor de Amerikaanse overheid. In januari van datzelfde jaar, na diplomatieke druk, namen Russische autoriteiten de bezittingen van Revil in beslag, waaronder 426 miljoen roebel en 20 luxe auto’s. Deze ’takedown’ bleek echter van tijdelijke aard te zijn. De groep hervatte de activiteiten in april van dat jaar. REvil maakt ook gebruik van het RaaS-model. De groep staat erom bekend netwerktoegang te bieden aan partners, die ransomware-aanvallen uitvoeren of namens REvil onderhandelen met slachtoffers. De leiders van REvil lichten zelfs hun eigen partners op en gaan ervandoor met de winst.
6. LockBit – Volgens CISA was de ransomware van LockBit in 2022 de meest gedistribueerde ransomware-variant ter wereld, en in 2023 heeft de groep zijn activiteiten doorgezet. Deze ransomwaregroep staat erom bekend zowel oudere als nieuwere kwetsbaarheden uit te buiten, zoals de Fortra GoAnywhere Managed File Transfer Remote Code Execution Vulnerability (CVE-2023–0669) en de PaperCut MF/NG Improper Access Control Vulnerability (CVE-2023–27350). Gebruikte tactieken en technieken omvatten drive-by compromittering, misbruik van openbaar toegankelijke applicaties, phishing, misbruik van remote desktops (RDP’s) om toegang tot netwerken te krijgen en talloze andere.
7. Maze Ransomware – Maze staat bekend om het gebruik van dubbele afpersing. De groep heeft eerder grote ondernemingen aangevallen, waaronder Canon, LG en Xerox. Hoewel Maze naar verluidt is gestopt, hebben de verwoestende activiteiten van de groep een sjabloon gecreëerd voor andere ransomwaregroepen. Maze blijft daarom tot op de dag van vandaag een grote invloed hebben.
8. Ryuk Ransomware – In 2020 richtte Ryuk zich naar verluidt op honderden ziekenhuizen. De groep staat erom bekend niet alleen netwerkschijven en bronnen te versleutelen, maar ook de tijd te nemen om back-ups van de gegevens van de slachtoffers te vernietigen. Wanneer er geen externe back-ups zijn, kan herstel van een dergelijke aanval extreem moeilijk, zo niet onmogelijk zijn, vooral voor kleinere organisaties. Volgens de Amerikaanse FBI heeft Ryuk in twee jaar tijd meer dan 61 miljoen dollar buit gemaakt.
9. DoppelPaymer – De DoppelPaymer-hackers hebben doorgaans tussen 25.000 en 17 miljoen dollar geëist van slachtoffers, waaronder overheidsorganisaties en bedrijfsgroepen. Eerder dit jaar kondigde Europol aan dat de politie in Duitsland en Oekraïne twee leiders van DoppelPaymer heeft opgepakt. De autoriteiten zijn nog steeds op zoek naar drie andere DoppelPaymer-leden. De groep heeft banden met Rusland en is mogelijk wel of niet verbonden met de overheid.
10. Black Basta – Deze ransomwaregroep bestaat uit leden van de Conti en REvil ransomwarebendes, met vergelijkbare tactieken, technieken en procedures. Met zeer bekwame en ervaren groepsleden krijgt Black Basta vaak toegang tot bedrijven door ongepatchte cybersecurity-kwetsbaarheden en openlijk beschikbare broncode uit te buiten. De groep verscheen voor het eerst in 2022 en wist in de eerste paar maanden alleen al 19 bekende bedrijfsslachtoffers te maken, naast meer dan 100 bevestigde slachtoffers. Black Basta gebruikt onderscheidende technieken binnen aanvallen, zoals het uitschakelen van de DNS-service van een gecompromitteerd systeem. Dit zal het herstelproces inherent compliceren en de DNS-service de toegang tot internet beletten.
