Dit zijn de 10 gevaarlijkste ransomwaregroepen
Check Point Software, leverancier van cyberbeveiligingsoplossingen, rangschikt de tien gevaarlijkste ransomwaregroepen van dit moment. In de eerste helft van 2023 hebben 48 ransomware-groepen meer dan 2.200 slachtoffers gemaakt. Lockbit3 is het meest actief en maakt 20 procent meer slachtoffers ten opzichte van de eerste helft van 2022. Maar liefst 66 procent van de organisaties wereldwijd werden het afgelopen jaar getroffen door ransomware. In de eerste helft van 2023 kregen Nederlandse bedrijven gemiddeld 598 keer te maken met ransomware aanvallen. In veel gevallen zijn dezelfde ransomwaregroepen verantwoordelijk voor het creëren, verspreiden en uitvoeren van deze ransomware.
Ransomware is een vorm van malware die de toegang van slachtoffers tot hun gegevens blokkeert totdat er losgeld wordt betaald. Hoewel het niet zo vaak voorkomt als phishing, is ransomware nog steeds een grote bedreiging voor individuen en organisaties wereldwijd.
Begin dit jaar werd in Nederland opgemerkt dat de omvangrijke ESXiArgs ransomware-campagne zich blijft uitbreiden en meer dan 500 hosts getroffen heeft, waarvan het merendeel zich in Frankrijk, Duitsland, Nederland, het Verenigd Koninkrijk en Oekraïne bevindt.
Om een goede verdediging te kunnen opzetten is het belangrijk om te weten wie er achter de ransomware-aanvallen zit en hoe ransomwaregroepen opereren. Deze informatie kan helpen bij het versterken van de digitale infrastructuur. Daarom geeft Check Point inzicht in de top 10 gevaarlijkste ransomwaregroepen van dit moment:
1. Clop Ransomware
Clop is een van de meest actieve ransomwaregroepen die experts dit jaar hebben waargenomen, met meer dan 100 aanvallen in alleen al de eerste vijf maanden van het jaar. De groep lijkt een voorkeur te hebben voor organisaties met een omzet van meer dan 5 miljoen dollar. Tot op heden wordt geschat dat Clop bedrijven in totaal voor meer dan 500 miljoen dollar aan losgeld heeft afgeperst. Naar aanleiding van Clop’s misbruik van een zero-day kwetsbaarheid in de MOVEit Transfer-app, kondigde het Amerikaanse Ministerie van Buitenlandse Zaken beloningen aan tot wel 10 miljoen dollar voor informatie die een connectie tussen Clop en buitenlandse regeringen zou kunnen bevestigen.
2. Conti Ransomware
Een andere zeer actieve ransomwaregroep, Conti, opereert volgens het principe ‘ransomware-as-a-service’ (RaaS) en stelt minder ervaren cybercriminelen in staat om hun malware te gebruiken, mits ze Conti een deel van de winst geven. Wat Conti berucht heeft gemaakt, is een gebrek aan ethiek als het gaat om slachtoffers. De groep heeft eerder ransomware-aanvallen uitgevoerd op grote gezondheidsorganisaties en eist miljoenen dollars in ruil voor systeemherstel. Conti staat er ook om bekend bemachtigde data actief te lekken. In 2020 overspoelde de groep het internet met privégegevens van meer dan 150 bedrijven.
3. Darkside Ransomware
Net als Conti is Darkside ook een RaaS-groep. Naar verluidt weigert Darkside echter om medische, educatieve of overheidsinstellingen aan te vallen. Maar dat maakt de leden van Darkside nog steeds geen loze dreiging. De groep houdt zich bezig met ransomware-activiteiten voor winst, zoals we zagen bij de Colonial Pipeline dreiging in mei 2021. De kwetsbaarheden waar Darkside naar verluidt op jaagt, zijn zwakke wachtwoorden, directe verbinding met RDP in plaats van VPN’s, onjuist geconfigureerde firewalls en gebrek aan tweefactorauthenticatie.
4. ALPHV (BlackCat)
Deze ransomwarebende staat bekend om creatieve en “gekke” ideeën. Zo gebruikt de groep de programmeertaal Rust, wat het ontwapenen van ransomware-aanvallen ingewikkelder maakt dan voorheen. De groep staat ook bekend om triple extortion-tactieken, inclusief DDoS-aanvallen. Dit jaar heeft de groep diverse opvallende inbraken uitgevoerd, waaronder het hacken van luchthavens, olie-raffinaderijen en andere kritieke infrastructuurproviders. Deze groep is enigszins gerelateerd aan Darkside of kan een herlancering van Darkside zijn. Het lijkt er ook op dat BlackCat-hackers mogelijk eerder hebben samengewerkt met het REvil-kartel.
5. REvil a.k.a. Sodinokibi
Deze groep wist in juli 2021 honderden managed service providers (MSP’s) te infecteren met ransomware tijdens de Kaseya-aanval en heeft talloze andere individuele entiteiten gehackt, van Apple tot een nucleaire onderaannemer voor de Amerikaanse overheid. In januari van datzelfde jaar, na diplomatieke druk, namen Russische autoriteiten de bezittingen van Revil in beslag, waaronder 426 miljoen roebel en 20 luxe auto’s. Deze ‘takedown’ bleek echter van tijdelijke aard te zijn. De groep hervatte de activiteiten in april van dat jaar. REvil maakt ook gebruik van het RaaS-model. De groep staat erom bekend netwerktoegang te bieden aan partners, die ransomware-aanvallen uitvoeren of namens REvil onderhandelen met slachtoffers. De leiders van REvil lichten zelfs hun hun eigen partners op en gaan er vandoor met de winst.
6. LockBit
Volgens CISA was de ransomware van LockBit in 2022 de meest gedistribueerde ransomware-variant ter wereld, en in 2023 heeft de groep zijn activiteiten doorgezet. Deze ransomwaregroep staat erom bekend zowel oudere als nieuwere kwetsbaarheden uit te buiten, zoals de Fortra GoAnywhere Managed File Transfer Remote Code Execution Vulnerability (CVE-2023-0669) en de PaperCut MF/NG Improper Access Control Vulnerability (CVE-2023-27350). Gebruikte tactieken en technieken omvatten drive-by compromittering, misbruik van openbaar toegankelijke applicaties, phishing, misbruik van remote desktops (RDP’s) om toegang tot netwerken te krijgen en talloze andere.
7. Maze Ransomware
Maze staat bekend om het gebruik van dubbele afpersing. De groep heeft eerder grote ondernemingen aangevallen, waaronder Canon, LG en Xerox. Hoewel Maze naar verluidt is gestopt, hebben de verwoestende activiteiten van de groep een sjabloon gecreëerd voor andere ransomwaregroepen. Maze blijft daarom tot op de dag van vandaag een grote invloed hebben.
8. Ryuk Ransomware
In 2020 richtte Ryuk zich naar verluidt op honderden ziekenhuizen. De groep staat erom bekend niet alleen netwerkschijven en bronnen te versleutelen, maar ook de tijd te nemen om back-ups van de gegevens van de slachtoffers te vernietigen. Wanneer er geen externe back-ups zijn, kan herstel van een dergelijke aanval extreem moeilijk, zo niet onmogelijk zijn, vooral voor kleinere organisaties. Volgens de Amerikaanse FBI heeft Ryuk in twee jaar tijd meer dan 61 miljoen dollar buit gemaakt.
9. DoppelPaymer
De DoppelPaymer-hackers hebben doorgaans tussen 25.000 en 17 miljoen dollar geëist van slachtoffers, waaronder overheidsorganisaties en bedrijfsgroepen. Eerder dit jaar kondigde Europol aan dat de politie in Duitsland en Oekraïne twee leiders van DoppelPaymer heeft opgepakt. De autoriteiten zijn nog steeds op zoek naar drie andere DoppelPaymer-leden. De groep heeft banden met Rusland en is mogelijk wel of niet verbonden met de overheid.
10. Black Basta
Deze ransomwaregroep bestaat uit leden van de Conti en REvil ransomwarebendes, met vergelijkbare tactieken, technieken en procedures. Met zeer bekwame en ervaren groepsleden krijgt Black Basta vaak toegang tot bedrijven door ongepatchte cybersecurity-kwetsbaarheden en openlijk beschikbare broncode uit te buiten. De groep verscheen voor het eerst in 2022 en wist in de eerste paar maanden alleen al 19 bekende bedrijfsslachtoffers te maken, naast meer dan 100 bevestigde slachtoffers. Black Basta gebruikt onderscheidende technieken binnen aanvallen, zoals het uitschakelen van de DNS-service van een gecompromitteerd systeem. Dit zal het herstelproces inherent compliceren en de DNS-service de toegang tot internet beletten.
Dit bericht is geplaatst op ons open Business channel en valt buiten de verantwoordelijkheid van de redactie.
Lees de Frankwatching-artikelen over Alle artikelen of Data analytics.