Unit 42, een onderzoeksteam van Palo Alto Networks, heeft zijn Ransomware Retrospective rapport uitgebracht. Hieruit blijkt dat het ransomware-landschap het afgelopen jaar te maken heeft gehad met belangrijke veranderingen en uitdagingen. In het rapport valt op dat de maakindustrie het meest wordt geraakt in Nederland. Deze sector incasseert 30% van alle ransomware attacks. Ook blijkt uit het rapport dat Lockbit 3.0 in Nederland, net zoals in de rest van de wereld, nog steeds de meest actieve ransomware groep is.. In Nederland was de groep verantwoordelijk voor 26% van de door Unit 42 geanalyseerde ransomware leak sites.

Kwetsbare software

In 2023 signaleerde Unit 42 3,998 berichten van ransomware leak sites, vergeleken met 2,679 in 2022. Dit is een toename van circa 49%. Deze stijging kan worden verklaard door ‘high-profile kwetsbaarheden, zoals SQL injectie voor MOVEit en GoAnywhere MFT-diensten. ‘Zero-day’ aanvallen voor deze kwetsbaarheden zorgden voor een piek aan ransomware-infecties door groepen als CLOP, LockBit en ALPHV (BlackCat), nog voordat verdedigers de kwetsbare software konden updaten.

Data van Leak sites toont aan dat er in 2023 tenminste 25 nieuwe ransomwaregroepen zijn ontstaan. Dit wijst op de aanhoudende aantrekkelijkheid van ransomware als winstgevende criminele activiteit, voornamelijk als gevolg van de hoge betalingen door slachtoffers in de afgelopen jaren. Ondanks de opkomst van nieuwe groepen als Darkrace, Cryptnet en U-Bomb, hielden veel van deze nieuwe ransomware threat actors het echter niet vol en verdwenen ze in de tweede helft van 2023.

Rechtshandhaving

In 2023 zijn bovendien diverse prominente ransomware-groepen verdwenen. Redenen voor hun ondergang zijn onder meer overmatige exposure en agressieve tactieken, die de aandacht trokken van wetshandhavingsinstanties en cybersecurity organisaties. Deze ransomwaregroepen stonden in de spotlight, wat zorgde voor extra druk en operationele uitdagingen. De toegenomen gezamenlijke inspanningen van wetshandhavingsinstanties hebben geleid tot grote successen in het verstoren van ransomware-operaties, waarbij enkele opmerkelijke groepen hun activiteiten in 2023 lijken te hebben stopgezet:

  • Hive, een van de meest productieve groepen in 2022, werd in 2023 stilgelegd. Deze operatie heeft de ontcijferingssleutels van de groep in handen gekregend en wereldwijd aan slachtoffers aangeboden, waardoor slachtoffers meer dan $130 miljoen aan mogelijke losgeldbetalingen bespaard bleven.
  • Ragnar Locker, oorspronkelijk gestart in 2019, was sindsdien zeer actief. In oktober 2023 meldde Europol een gecoördineerde internationale rechtshandhavingsactie die de Ragnar Locker-infrastructuur in beslag nam. De hoofddader werd vervolgens voorgeleid aan de Parijse rechtbank.
  • Ransomed.Vc begon zijn activiteiten in augustus 2023 en trok de aandacht door de verantwoordelijkheid op zich te nemen voor een compromittering bij Sony in september. Deze groep staakte zijn activiteiten en bood zijn beschikbare infrastructuur aan voor veiling tegen eind oktober, waardoor het succes van korte duur was.
  • Trigona werd voor het eerst gespot in 2022 en werd niet door rechtshandhavingsacties, maar door een hacktivistische groep die zichzelf de Oekraïense Cyber Alliance noemt, uitgeschakeld. Ze maakten gebruik van een kritieke kwetsbaarheid in Confluence en gebruikten een ‘zero-day’ aanval om toegang te krijgen tot de infrastructuur van Trigona. De hacktivistische groep wiste alle gegevens van Trigona, een actie die uiteindelijk leidde tot het einde van de ransomwaregroep.

De acties van de rechtshandhaving omvatten het verstrekken van ontcijferingssleutels aan slachtoffers, het in beslag nemen van infrastructuur en het arresteren van belangrijke dreigingsactoren. Op die manier konden ze voorkomen dat ransomwaregroepen veel geld verdienden. De resultaten dwongen medewerkers om deze groepen te verlaten en op zoek te gaan naar meer winstgevende alternatieven

Altijd op de hoogte blijven?