Hoe ransomware-dreigingen de afgelopen jaren zijn veranderd
Het aantal ransomware-aanvallen stijgt in snel tempo. Cijfers over de exacte groei op jaarbasis verschillen. Op basis van meer dan 500 waargenomen aanvallen in zijn eigen incident response-tool schat Group-IB de toename in 2020 tot wel 150%. Volgens blockchain-onderzoekers van Chainalysis is het aantal ransomware-aanvallen toegenomen met 311% tegen het einde van 2020. Hoe hoog het werkelijke aantal ook is, feit blijft dat ransomware een groeiend probleem is. Organisaties en instellingen in alle soorten en maten, zowel in de publieke als in de private sector, krijgen steeds vaker met dit soort cyberaanvallen te maken.
Er zijn veel redenen waarom de ransomware-dreiging gestaag toeneemt. De aanname dat alleen COVID-19 ervoor zorgt dat verveelde thuismedewerkers op alles klikken wat afwisseling belooft, doet geen recht aan de werkelijkheid. De pandemie, de lockdown en de hoop op vaccins dragen natuurlijk bij aan het probleem. Dit verklaart echter niet de waarom ransomware-bedreigingen zo’n gewoongoed zijn geworden.
De toename van ransomware
Waarom neemt het aantal ransomware-aanvallen dan wel toe? In grote lijnen zijn er drie belangrijke redenen voor de stijging:
1. Betere beschikbaarheid. Ransomware-as-a-Service (RaaS) wordt steeds populairder en geeft zelfs relatief onervaren aanvallers toegang tot complexe tools en een omgeving waarin ze hun campagnes kunnen uitvoeren. Ook worden er affiliate- en partnerprogramma’s aangeboden door sommige criminelen. Dit houdt in dat bedrijven als Sodinokibi/REvil, NetWalker en Nefilim hun partners modellen aanbieden met vooraf overeengekomen winstdeling.
2. Ransomware-aanvallen zijn schaalbaar geworden. Een gevolg van de eenvoudigere beschikbaarheid, is dat ransomware-aanvallen efficiënter kunnen worden uitgevoerd en daardoor schaalbaarder zijn. De opkomst van RaaS heeft ertoe geleid dat aanvallen die voorheen de mogelijkheden van bepaalde kwaadwillende actoren te boven gingen, nu haalbaar en vooral winstgevend zijn.
3. Bestaande spelers handelen steeds professioneler. Veel cybercriminelen hebben veel geld geïnvesteerd in het upgraden van hun ransomware-systemen om de concurrentie voor te blijven, maar ook om detectie te vermijden.
Ransomware verandert, net zoals de ransomware-actoren
Er zijn ook andere aspecten die een rol spelen. Het recente datalek bij het Britse retailbedrijf FatFace gaf een inkijkje in de interactie tussen aanvallers en slachtoffers. Zo was het losgeld daar terug onderhandeld van $8 naar $2 miljoen. De aanvallers baseerden hun oorspronkelijke verzoek op het feit dat FatFace een cyberverzekering had afgesloten met een dekking van 7,5 miljoen pond.
Hoe kwamen de aanvallers tot dit bedrag? Deze aanval via meerdere kanalen is wellicht het bewijs van zoiets als ‘het geweten van een boef’. Zo kondigde een ransomware-bende aan dat het zich in de toekomst zou richten op bedrijven waarvan ze wisten dat ze een cyberverzekering afgesloten hadden. Kort daarna vond een mogelijk gerelateerde aanval plaats op een grote aanbieder van dergelijke cyberverzekeringen. Het is nooit bevestigd dat de twee met elkaar verbonden waren.
Ten slotte is een laatste aspect de steeds radicalere aanpak van de aanvallers. Toen de allereerste ransomware, de AIDS/COP-Trojan, in 1989 werd verspreid, vroeg de afperser om slechts $189 te sturen naar een postbus in Panama. De afperser was WHO-consultant dr. Joseph Popp, een aan Harvard opgeleide antropoloog die had samengewerkt met de Flying Docters in Afrika. Na zijn arrestatie beloofde de afperser het ontvangen geld te schenken aan Aids-onderzoek.
Tegenwoordig zijn dit type nobele doelen en professionele achtergrond atypisch voor de huidige beroepscriminelen. Afpersers zijn tegenwoordig niet langer heilig, en alle middelen worden ingezet. Zoals blijkt uit de hierboven genoemde losgeld onderhandelingen maken cybercriminelen tegenwoordig regelmatig gebruik van voorkennis. Daarnaast dreigen zij vaak de gestolen gegevens te publiceren wanneer het losgeld niet wordt betaald (wat ze meestal ook doen na ontvangst van het losgeld), zodat het betreffende bedrijf betaalt uit angst voor reputatieschade. Het kan nog erger. Na een ransomware-aanval op een Finse kliniek, namen de criminelen contact op met hun patiënten en dreigden ze hun meest gevoelige gezondheidsinformatie online te verspreiden als ze het losgeld niet betaalden.
Conclusie
Cybercriminelen gebruiken tegenwoordig alle mogelijke middelen tegen hun slachtoffers om hun winst en rendement te maximaliseren. Ze zullen zowel financiële als emotionele middelen inzetten om hun slachtoffers het gevoel te geven dat ze geen andere mogelijkheid hebben dan het betalen van het losgeld. Deze verraderlijke benaderingen zorgen ervoor dat een ransomware-aanval niet alleen tot financiële, maar ook tot emotionele schade kan leiden. Zowel voor particulieren als voor bedrijven en instellingen.
De huidige ransomware heeft niets meer te maken heeft met ransomware van weleer. Ransomware is van onschuldig naar kwaardaardig spel gegaan, van fondsenwerving naar commerciële inspanningen en van intimidatie naar verraad. Doordat de criminelen strategisch denken, winst maken en bovenal zeer gemotiveerd zijn, zorgen ze dat we geen adempauze krijgen van de stroom ransomware-dreigingen waar we vandaag de dag mee te maken hebben.
Door: Thom Langford, Security Advocate bij SentinelOne