Ransomware groepen HelloKitty & Hive zijn al actief in Nederland
Cybercrimegroepen zijn haast geen twee dagen hetzelfde. Sommige groepen verdwijnen naar de achtergrond omdat ze te bekend zijn geworden en onder een vergrootglas liggen, terwijl er juist weer andere tevoorschijn komen. Maar ook de groepen die blijven opereren, veranderen continu hun technieken en tactieken. Bovendien vinden ze telkens nieuwe manieren om partners aan zich te binden.
Onderzoekers van het threat intelligence-team van Palo Alto Networks, Unit 42, houden deze ontwikkelingen continu in de gaten. Momenteel zien ze vier ransomwaregroepen die snel hun operaties vergroten en ook al bedrijven in Nederland hebben getroffen:
HelloKitty (Linux variant): Er is nu een variant van de al bestaande Windows-ransomware, die zijn pijlen richt op Linux-servers die VMware’s ESXi hypervisor draaien. Dit heeft al voor slachtoffers gezorgd in Nederland, maar ook in Duitsland, de Verenigde Staten, Italië en Australië. In de code van de malware wordt de tool “HelloKittyMutex.” gebruikt, wat tot de opvallende naam heeft geleid.
Hive: De ransomware van Hive maakt gebruik van dubbele afpersing en wordt steeds populairder. De leak site werd gelanceerd in juni en tot nu toe zijn er 28 slachtoffers geregistreerd. Het heeft al bedrijven getroffen in Nederland, maar ook in Australië, China, India, Noorwegen, Peru, Portugal, Zwitserland, Thailand, het Verenigd Koninkrijk en de VS.
AvosLocker: Deze nieuwe groep werkt op basis van ransomware as a service (RaaS). Door middel van "persberichten" met een logo van een blauwe kever probeert het nieuwe partners te werven. De leak site toont hacks in België, Libanon, Spanje, de VS, de Verenigde Arabische Emiraten en het VK.
LockBit: de RaaS-groep heeft al voet aan de grond maar heeft recent een gelikte marketingcampagne gelanceerd om hun LockBit 2.0 encryption software te promoten. De groep claimt dat het momenteel de snelste op de markt is. Bedrijven in Argentinië, Australië, Oostenrijk, België, Brazilië, Duitsland, Italië, Maleisië, Mexico, Roemenië, Zwitserland, de VS en het VK zijn al ten prooi gevallen.
Doel Santos, onderzoeker bij Unit 42 zegt: "Het feit dat twee van de vier opkomende ransomware-groepen slachtoffers eisen in Nederland, toont aan in hoeverre de ransomware-crisis een wereldwijde pandemie is geworden. Deze steeds agressievere cybercriminelen zijn erop uit om zoveel mogelijk doelen aan te vallen. Ransomware-operators richten zich op kwetsbaarheden in organisaties en besteden weinig aandacht aan internationale grenzen of specifieke industrieën."
Meer informatie over deze groepen vind je in het nieuwe rapport.