Alles over ransomware-aanvallen
Ransomware haalde de krantenkoppen in 2021 en blijft het nieuws halen in 2022. u heeft misschien verhalen gehoord over aanvallen op grote bedrijven, organisaties of overheidsinstellingen, of misschien heeft u als individu een ransomware-aanval meegemaakt op uw eigen apparaat.
Het is een groot probleem en een beangstigend vooruitzicht dat alle uw bestanden en gegevens gegijzeld worden totdat u betaalt. Als u meer wil weten over deze bedreiging, lees dan verder om meer te leren over de verschillende vormen van ransomware, hoe u het krijgt, waar het vandaan komt, op wie het is gericht en uiteindelijk, wat u kan doen om zich ertegen te beschermen.
Wat is ransomware?
Ransomware definitie
Ransom malware, of ransomware, is een type malware dat gebruikers de toegang tot hun systeem of persoonlijke bestanden ontzegt en losgeld eist om weer toegang te krijgen. Hoewel sommige mensen misschien denken "een virus heeft mijn computer vergrendeld", wordt ransomware meestal geclassificeerd als een andere vorm van malware dan een virus.
De vroegste varianten van ransomware werden eind jaren 80 ontwikkeld en de betaling moest via slakkenpost worden verzonden. Tegenwoordig geven schrijvers van ransomware opdracht om de betaling te verzenden via cryptocurrency of creditcard en aanvallers richten zich op individuen, bedrijven en organisaties van allerlei aard. Sommige schrijvers van ransomware verkopen de service aan andere cybercriminelen, wat bekend staat als Ransomware-as-a-Service of RaaS.
Ransomware-aanvallen
Hoe voert een bedreigende actor precies een ransomware-aanval uit? Eerst moeten ze toegang krijgen tot een apparaat of netwerk. Als ze toegang hebben, kunnen ze de malware gebruiken die nodig is om uw apparaat en gegevens te versleutelen of te vergrendelen. Er zijn verschillende manieren waarop ransomware uw computer kan infecteren.
Hoe krijg ik ransomware?
- Malspam: Om toegang te krijgen, maken sommige bedreigingsactoren gebruik van spam, waarbij ze een e-mail met een schadelijke bijlage naar zoveel mogelijk mensen sturen en kijken wie de bijlage opent en als het ware "in het aas hapt". Kwaadaardige spam, of malspam, is ongevraagde e-mail die wordt gebruikt om malware af te leveren. De e-mail kan bijlagen met boobytraps bevatten, zoals PDF's of Word-documenten. Het kan ook koppelingen naar schadelijke websites bevatten.
- Malvertising: Een andere populaire infectiemethode is malvertising. Malvertising, of kwaadaardige reclame, is het gebruik van online reclame om malware te verspreiden met weinig tot geen interactie van de gebruiker. Tijdens het surfen op het web, zelfs op legitieme sites, kunnen gebruikers naar criminele servers worden geleid zonder ooit op een advertentie te klikken. Deze servers verzamelen gegevens over de computers van slachtoffers en hun locaties en selecteren vervolgens de malware die het meest geschikt is om af te leveren. Vaak is die malware ransomware. Malvertising gebruikt vaak een geïnfecteerd iframe, of onzichtbaar webpagina-element, om zijn werk te doen. Het iframe leidt om naar een landingspagina voor misbruik en kwaadaardige code valt het systeem aan vanaf de landingspagina via een exploit kit. Dit gebeurt allemaal zonder medeweten van de gebruiker, daarom wordt het vaak een drive-by-download genoemd.
- Spear phishing: Een meer gerichte manier om een ransomware-aanval uit te voeren is spearphishing. Een voorbeeld van spear phishing is het sturen van e-mails naar werknemers van een bepaald bedrijf, waarbij wordt beweerd dat de CEO u vraagt om een belangrijke werknemersenquête in te vullen, of dat de HR-afdeling u vraagt om een nieuw beleid te downloaden en te lezen. De term "whaling" wordt gebruikt om dergelijke methoden te beschrijven die gericht zijn op besluitvormers op hoog niveau in een organisatie, zoals de CEO of andere leidinggevenden.
- Social engineering: Malspam, malvertising en spear phishing kunnen elementen van social engineering bevatten en doen dat ook vaak. Bedreigers kunnen social engineering gebruiken om mensen te verleiden bijlagen te openen of op koppelingen te klikken door zich legitiem voor te doen - of dat nu is door zich voor te doen als zijnde afkomstig van een vertrouwde instelling of een vriend. Cybercriminelen maken gebruik van social engineering bij andere soorten ransomware-aanvallen, zoals het zich voordoen als de FBI om gebruikers bang te maken zodat ze een geldbedrag betalen om hun bestanden te ontgrendelen. Een ander voorbeeld van social engineering is als een bedreigende actor informatie verzamelt van uw openbare sociale-mediaprofielen over uw interesses, plaatsen u die vaak worden bezocht, uw baan, enz., en een deel van die informatie gebruikt om u een bericht te sturen dat u bekend voorkomt, in de hoop dat u'klikt voordat u beseft dat het niet legitiem is.
Bestanden versleutelen en losgeld eisen
Welke methode de bedreiger ook gebruikt, zodra ze toegang krijgen en de ransomware software (meestal geactiveerd doordat het slachtoffer op een link klikt of een bijlage opent) uw bestanden of gegevens versleutelt zodat u er niet bij kan, u'ziet dan een bericht waarin losgeld wordt geëist om te herstellen wat ze hebben meegenomen. Vaak eist de aanvaller betaling via cryptocurrency.
Soorten ransomware
De drie belangrijkste soorten ransomware zijn scareware, screen lockers en versleutelende ransomware:
- Scareware: Scareware, zo blijkt, is niet zo eng. Het omvat malafide beveiligingssoftware en oplichterij voor technische ondersteuning. u kan een pop-upbericht ontvangen waarin wordt beweerd dat er malware is ontdekt en dat de enige manier om er vanaf te komen is om te betalen. Als u niets doet, zal uwaarschijnlijk gebombardeerd blijven worden met pop-ups, maar uw bestanden zijn in wezen veilig. Een legitiem cyberbeveiligingssoftwareprogramma zou klanten niet op deze manier benaderen. Als u de software van dit bedrijf nog niet op uw computer heeft staan, dan zouden ze u niet controleren op infectie met ransomware. Als u wel beveiligingssoftware heeft, dan zou u niet hoeven te betalen om de infectie te laten verwijderen-u've already paid for the software to do that very job.
- Schermvergrendelingen: Upgrade naar terreuralarm oranje voor deze jongens. Wanneer ransomware met een vergrendeld scherm op een uw computer terechtkomt, betekent dit dat uvolledig wordt afgesloten van de uw pc. Bij het opstarten van uw computer verschijnt er een groot venster, vaak vergezeld van een officieel uitziend FBI of US Department of Justice zegel met de melding dat er illegale activiteiten zijn gedetecteerd op uw computer en u een boete moet betalen. De FBI zou echter u niet bevriezen van uw computer of betaling eisen voor illegale activiteiten. Als ze u verdachten van piraterij, kinderpornografie of andere cybermisdaden, zouden ze de juiste juridische kanalen volgen.
- Versleutelende ransomware: Dit is het echt vervelende spul. Dit zijn de mensen die uw bestanden onderscheppen en versleutelen en betaling eisen om ze te ontsleutelen en opnieuw te leveren. De reden waarom dit type ransomware zo gevaarlijk is, is dat zodra cybercriminelen uw bestanden in handen hebben, geen beveiligingssoftware of systeemherstel ze kan teruggeven aan u. Tenzij u het losgeld betaalt - voor het grootste deel - zijn ze weg. En zelfs als u wel betaalt, is er geen garantie dat de cybercriminelen u die bestanden teruggeven.
Mac ransomware
De auteurs van Mac , die zich niet onbetuigd wilden laten in het ransomware-spel, dropten in 2016 de eerste ransomware voor Mac OS. De ransomware, KeRanger genaamd, infecteerde een app genaamd Transmission die, wanneer gestart, kwaadaardige bestanden kopieerde die drie dagen stil op de achtergrond bleven draaien totdat ze ontploften en bestanden versleutelden. Gelukkig bracht Apple's ingebouwde anti-malware programma XProtect snel na de ontdekking van de ransomware een update uit die het infecteren van gebruikerssystemen blokkeerde. Desondanks is Mac ransomware niet langer theoretisch.
Na KeRanger kwamen Findzip en MacRansom, beide ontdekt in 2017. Meer recentelijk, in 2020, was er wat leek op ransomware(ThiefQuest, ook bekend als EvilQuest), maar het bleek eigenlijk wat een "wisser" wordt genoemd. Het deed zich voor als ransomware als een block voor het feit dat het alle uw gegevens exfiltreerde, en hoewel het bestanden versleutelde, had het nooit een manier voor gebruikers om ze te ontsleutelen of contact op te nemen met de bende over betalingen.
Mobiele ransomware
Pas met het beruchte CryptoLocker en andere soortgelijke families in 2014 werd ransomware op grote schaal gezien op mobiele apparaten. Mobiele ransomware toont meestal een bericht dat het apparaat is vergrendeld vanwege een of andere illegale activiteit. In het bericht staat dat de telefoon zal worden ontgrendeld nadat een bedrag is betaald. Mobiele ransomware wordt vaak geleverd via schadelijke apps en vereist dat u de telefoon opstart in de veilige modus en de geïnfecteerde app verwijdert om toegang te krijgen tot uw mobiele apparaat.
Op wie richten auteurs van ransomware zich?
Toen ransomware werd geïntroduceerd (en vervolgens opnieuw werd geïntroduceerd), waren de eerste slachtoffers individuele systemen (aka gewone mensen). Cybercriminelen begonnen echter het volledige potentieel ervan te realiseren toen ze ransomware uitrolden naar bedrijven. Ransomware was zo succesvol tegen bedrijven, stopte de productiviteit en resulteerde in verloren gegevens en inkomsten, dat de auteurs de meeste aanvallen op hen richtten.
Tegen het einde van 2016 was 12,3 procent van de wereldwijde bedrijfsdetecties ransomware, terwijl wereldwijd slechts 1,8 procent van de consumentendetecties ransomware was. In 2017 had 35 procent van de kleine en middelgrote bedrijven te maken gehad met een ransomware-aanval. Spoel door naar de wereldwijde pandemie in 2020 en de dreiging blijft bestaan: Ransomware-bendes vielen ziekenhuizen en medische faciliteiten aan en ontwikkelden nieuwe tactieken zoals "dubbele afpersing", waarbij aanvallers meer geld kunnen afpersen door te dreigen met het lekken van gevoelige gegevens dan door het ontsleutelen van computers die ze hebben versleuteld. Sommige ransomware-groepen bieden hun diensten aan anderen aan, met behulp van een Ransomware-as-a-Service of RaaS-model.
Ransomware-rapport over kleine en middelgrote bedrijven.
Geografisch gezien zijn ransomware-aanvallen nog steeds gericht op westerse markten, met respectievelijk het Verenigd Koninkrijk, de Verenigde Staten en Canada als de top drie van landen die het doelwit vormen. Net als bij andere bedreigingsactoren volgen de makers van ransomware het geld, dus ze zoeken naar gebieden waar zowel veel pc's worden gebruikt als relatieve rijkdom heerst. Naarmate de economische groei in opkomende markten in Azië en Zuid-Amerika toeneemt, kunnen we ook daar een toename van ransomware (en andere vormen van malware) verwachten.
Hoe kan ik ransomware verwijderen?
Ze zeggen dat voorkomen beter is dan genezen. Dit is zeker waar als het gaat om ransomware. Als een aanvaller uw apparaat versleutelt en losgeld eist, is er geen garantie dat hij het apparaat zal ontsleutelen, of u nu betaalt of niet.
Daarom is het belangrijk om voorbereid te zijn voordat u wordt getroffen door ransomware. Twee belangrijke stappen zijn:
- Installeer beveiligingssoftware voordat u wordt getroffen door ransomware
- Een back-up maken van uw belangrijke gegevens (bestanden, documenten, foto's, video's, enz.)
Als u een ransomware-infectie heeft, is de belangrijkste regel om nooit het losgeld te betalen. (Dit advies wordt nu onderschreven door de FBI.) Het enige wat je daarmee doet, is cybercriminelen aanmoedigen om extra aanvallen uit te voeren op u of iemand anders.
Een mogelijke optie voor het verwijderen van ransomware is dat u sommige versleutelde bestanden kan terughalen met behulp van gratis decryptors. Voor de duidelijkheid: niet voor alle ransomware-families zijn decryptors gemaakt, in veel gevallen omdat de ransomware gebruik maakt van advanced en geavanceerde encryptie-algoritmen.
En zelfs als er een decryptor is, is het niet altijd duidelijk of deze voor de juiste versie van de malware is. u wil uw bestanden niet verder versleutelen door het verkeerde decryptiescript te gebruiken. Daarom moet ugoed letten op het losgeldbericht zelf, of misschien advies vragen aan een beveiligings-/IT-specialist voordat u iets probeert.
Andere manieren om om te gaan met een ransomware-infectie zijn het downloaden van een beveiligingsproduct dat bekend staat om het herstellen en het uitvoeren van een scan om de dreiging te verwijderen. u krijgt misschien geen uw bestanden terug, maar u kan er zeker van zijn dat de infectie wordt opgeruimd. Voor ransomware voor schermvergrendeling kan een volledig systeemherstel nodig zijn. Als dat niet werkt, kan u proberen een scan uit te voeren vanaf een opstartbare cd of USB-station.
Als u wil proberen een versleutelende ransomware-infectie te verijdelen, moet ubijzonder waakzaam blijven. Als u merkt dat het systeem van uw vertraagt zonder dat daar een reden voor lijkt te zijn, sluit het dan af en koppel het los van het internet. Als, zodra u weer opstart, de malware nog steeds actief is, zal het niet in staat zijn om instructies te verzenden of te ontvangen van de commando- en controleserver. Dat betekent dat de malware zonder een sleutel of een manier om betaling te verkrijgen, inactief kan blijven. Download en installeer op dat moment een beveiligingsproduct en voer een volledige scan uit.
Deze opties voor het verwijderen van ransomware zullen echter niet in alle gevallen werken. Zoals hierboven vermeld, moeten consumenten zich proactief verdedigen tegen ransomware op uw door beveiligingssoftware te installeren zoals Malwarebytes Premiumen door een back-up te maken van alle belangrijke gegevens op uw . Voor bedrijven: lees meer over Malwarebytes zakelijke oplossingen die ransomware detecteren, voorkomen en terugdraaien.
Hoe bescherm ik mezelf tegen ransomware?
Security Experts zijn het erover eens dat de beste manier om je te beschermen tegen ransomware is om het te voorkomen.
Lees meer over de beste manieren om een ransomware-infectie te voorkomen.
Hoewel er methoden zijn om een ransomware-infectie aan te pakken, zijn dit in het beste geval onvolmaakte oplossingen die vaak veel meer technische vaardigheden vereisen dan de gemiddelde computergebruiker. Dus hier is wat we mensen aanraden om de gevolgen van ransomware-aanvallen te voorkomen.
De eerste stap in het voorkomen van ransomware is investeren in geweldige cyberbeveiliging-een programma met realtime bescherming dat is ontworpen om geavanceerde malware-aanvallen zoals ransomware te verijdelen. u moet ook uitkijken naar functies die zowel kwetsbare programma's afschermen van bedreigingen (een anti-exploit technologie) als ransomware blokkeren om bestanden te gijzelen (een anti-ransomware component). Klanten die de premium versie van Malwarebytes voor Windows gebruikten, waren bijvoorbeeld beschermd tegen alle grote ransomware-aanvallen van 2017.
Vervolgens moet u , hoe pijnlijk het ook is u, regelmatig veilige back-ups maken van uw gegevens. Onze aanbeveling is om cloud-opslag te gebruiken met een hoge mate van versleuteling en verificatie met meerdere factoren. u kan echter USB's of een externe harde schijf aanschaffen waarop u nieuwe of bijgewerkte bestanden kan opslaan - zorg er alleen voor dat u de apparaten fysiek loskoppelt van uw computer na het maken van een back-up, anders kunnen ze ook geïnfecteerd raken met ransomware.
Zorg er vervolgens voor dat uw systemen en software zijn bijgewerkt. De WannaCry ransomware-uitbraak maakte gebruik van een kwetsbaarheid in Microsoft software. Hoewel het bedrijf al in maart 2017 een patch had uitgebracht voor het beveiligingslek, installeerden veel mensen de update niet, waardoor ze konden worden aangevallen. We begrijpen dat het moeilijk is om op de hoogte te blijven van een steeds langer wordende lijst met updates van een steeds langer wordende lijst met software en toepassingen die in uw dagelijks worden gebruikt. Daarom raden we aan de instellingen op uw te wijzigen om automatisch updaten in te schakelen.
Blijf tot slot op de hoogte. Een van de meest voorkomende manieren waarop computers worden geïnfecteerd met ransomware is via social engineering. uLeer uzelf(en uw werknemers als u een bedrijfseigenaar bent) hoe u malspam, verdachte websites en andere zwendel kunt detecteren. En bovenal, gebruik gezond verstand. Als het verdacht lijkt, is het dat waarschijnlijk ook.
Hoe beïnvloedt ransomware mijn bedrijf?
GandCrab, SamSam, WannaCry, NotPetya - het zijn allemaal verschillende soorten ransomware en ze treffen bedrijven hard. In de tweede helft van 2018 steeg het aantal ransomware-aanvallen op bedrijven zelfs met 88%, omdat cybercriminelen zich minder richten op aanvallen op consumenten. Cybercriminelen beseffen dat grote bedrijven veel geld opleveren en richten zich nu op ziekenhuizen, overheidsinstellingen en commerciële instellingen. Alles bij elkaar opgeteld bedragen de gemiddelde kosten van een datalek, inclusief herstel, boetes en uitbetalingen van ransomware, $3,86 miljoen.
De meeste gevallen van ransomware zijn de laatste tijd geïdentificeerd als GandCrab. GandCrab werd voor het eerst ontdekt in januari 2018 en heeft al verschillende versies doorlopen naarmate de auteurs van de bedreiging hun ransomware moeilijker te verdedigen maken en de versleuteling versterken. Naar schatting heeft GandCrab al rond de 300 miljoen dollar aan losgeld binnengeharkt, met individuele losgelden van 600 tot 700.000 dollar.
Bij een andere opmerkelijke aanval in maart 2018 legde de SamSam-ransomware de stad Atlanta lam door verschillende essential stadsdiensten uit te schakelen, waaronder het innen van belastingen en het bijhouden van politieregisters. Alles bij elkaar kostte de SamSam-aanval Atlanta 2,6 miljoen dollar om te herstellen.
Gezien het grote aantal ransomware-aanvallen en de enorme kosten die hiermee gepaard gaan, is dit een goed moment om uw zakelijk te beschermen tegen ransomware. We hebben het onderwerp al eerder uitgebreid behandeld, maar hier volgt een korte uitleg over hoe u uw business kunt beschermen tegen malware.
- Maak een back-up van uw gegevens. Ervan uitgaande dat u back-ups beschikbaar heeft, is het herstellen van een ransomware-aanval net zo eenvoudig als het wissen en opnieuw back-uppen van geïnfecteerde systemen. u wil misschien uw back-ups scannen om er zeker van te zijn dat ze niet geïnfecteerd zijn, omdat sommige ransomware ontworpen is om te zoeken naar netwerkshares. u doet er daarom goed aan om gegevensback-ups op te slaan op een beveiligde cloudserver met hoogwaardige versleuteling en verificatie met meerdere factoren.
- Patch en update uw software. Ransomware maakt vaak gebruik van exploitkits om ongeoorloofde toegang te krijgen tot een systeem of netwerk (bijv. GandCrab). Zolang de software op het uw netwerk up-to-date is, kunnen exploit-gebaseerde ransomware-aanvallen u geen kwaad doen. Als uw een bedrijf draait op verouderde of verouderde software, dan loopt ueen risico op ransomware, omdat de softwaremakers geen beveiligingsupdates meer uitbrengen. Verwijder abandonware en vervang het door software die nog wordt ondersteund door de fabrikant.
- Informeer uw eindgebruikers over malspam en het maken van sterke wachtwoorden. De ondernemende cybercriminelen achter Emotet gebruiken de voormalige banking Trojan als een medium voor ransomware. Emotet vertrouwt op malspam om een eindgebruiker te infecteren en voet aan de grond te krijgen op het uw netwerk. Eenmaal op het uw netwerk vertoont Emotet wormachtig gedrag en verspreidt het zich van systeem naar systeem met behulp van een lijst met veelgebruikte wachtwoorden. Door te leren hoe je malspam herkent en multi-factor authenticatie te implementeren, blijven u're eindgebruikers cybercriminelen een stap voor.
- Investeer in goede cyberbeveiligingstechnologie. Malwarebytes Endpoint Detection and Response, bijvoorbeeld, biedt u detectie-, respons- en herstelmogelijkheden via één handige agent in uw gehele netwerk. u kan ook een gratis proefversie aanvragen van Malwarebytes anti-ransomware technologie om meer te weten te komen over onze ransomware beschermingstechnologie.
Wat moet u doen als ual slachtoffer is van ransomware? Niemand wil achteraf met ransomware te maken krijgen.
- Controleer of er een decryptor is. In sommige zeldzame gevallen kan u uw gegevens ontsleutelen zonder te betalen, maar ransomware-bedreigingen evolueren voortdurend met als doel het steeds moeilijker te maken om uw bestanden te ontsleutelen, dus geef uw geen hoop.
- Betaal het losgeld niet. Wij pleiten er al lang voor om het losgeld niet te betalen en de FBI is het daar (na wat heen en weer gepraat) mee eens. Cybercriminelen hebben geen scrupules en er is geen garantie udat ze uw bestanden terugkrijgen. Bovendien, door het losgeld te betalen ulaat je cybercriminelen zien dat ransomware-aanvallen werken.
Geschiedenis van ransomware-aanvallen
De eerste ransomware, bekend als PC Cyborg of AIDS, werd eind jaren 80 gemaakt. PC Cyborg versleutelde alle bestanden in de C: map na 90 keer opnieuw opstarten en eiste vervolgens dat de gebruiker zijn licentie vernieuwde door $189 per post te sturen naar PC Cyborg Corp. De gebruikte versleuteling was eenvoudig genoeg om ongedaan te maken, dus het vormde weinig bedreiging voor mensen met verstand van computers.
In de daaropvolgende 10 jaar doken er weinig varianten op, maar een echte ransomware-bedreiging kwam pas in 2004, toen GpCode zwakke RSA-encryptie gebruikte om persoonlijke bestanden losgeld te laten betalen.
In 2007 luidde WinLock de opkomst in van een nieuw type ransomware dat, in plaats van bestanden te versleutelen, mensen van hun bureaublad afsloot. WinLock nam het scherm van het slachtoffer over en toonde pornografische afbeeldingen. Vervolgens eiste het betaling via een betaalde sms om ze te verwijderen.
Met de ontwikkeling van de losgeldfamilie Reveton in 2012 kwam er een nieuwe vorm van ransomware: law enforcement ransomware. Slachtoffers werden afgesloten van hun bureaublad en kregen een officieel uitziende pagina te zien met gegevens van wetshandhavingsinstanties zoals de FBI en Interpol. De ransomware beweerde dat de gebruiker een misdaad had gepleegd, zoals het hacken van computers, downloaden van illegale bestanden of zelfs betrokkenheid bij kinderporno. De meeste rechtshandhavingsransomwarefamilies eisten dat er een boete werd betaald variërend van $100 tot $3.000 met een pre-paid kaart zoals UKash of PaySafeCard.
Gemiddelde gebruikers wisten niet wat ze hiervan moesten denken en geloofden dat ze echt onderzocht werden door de politie. Deze social engineering-tactiek, die nu impliciete schuld wordt genoemd, zorgt ervoor dat de gebruiker zijn eigen onschuld in twijfel trekt en, liever dan te worden uitgescholden voor een activiteit waar hij niet trots op is, het losgeld betaalt om het allemaal te laten verdwijnen.
In 2013 liet CryptoLocker de wereld opnieuw kennismaken met versleutelende ransomware, maar deze keer was het veel gevaarlijker. CryptoLocker gebruikte encryptie van militaire kwaliteit en sloeg de sleutel die nodig was om bestanden te ontgrendelen op een externe server op. Dit betekende dat het voor gebruikers vrijwel onmogelijk was om hun gegevens terug te krijgen zonder het losgeld te betalen.
Dit type versleutelende ransomware wordt vandaag de dag nog steeds gebruikt, omdat het een ongelooflijk effectief middel is gebleken voor cybercriminelen om geld te verdienen. Grootschalige uitbraken van ransomware, zoals WannaCry in mei 2017 en Petya in juni 2017, maakten gebruik van versleutelende ransomware om gebruikers en bedrijven over de hele wereld in de val te lokken.
Eind 2018 brak Ryuk door op het toneel van ransomware met een reeks aanvallen op Amerikaanse nieuwspublicaties en de Onslow Water and Sewer Authority in North Carolina. In een interessante wending werden de systemen in kwestie eerst geïnfecteerd met Emotet of TrickBot, twee Trojaanse paarden die informatie stelen en nu worden gebruikt om andere vormen van malware te leveren, zoals Ryuk. Adam Kujawa, directeur van Malwarebytes Labs , speculeert dat Emotet en TrickBot worden gebruikt om waardevolle doelwitten te vinden. Zodra een systeem is geïnfecteerd en gemarkeerd als een goed doelwit voor ransomware, herinfecteert Emotet/TrickBot het systeem met Ryuk.
In 2019 zijn de criminelen achter de Sodinokibi ransomware (een vermeende uitloper van GandCrab) begonnen met het gebruiken van managed service providers (MSP) om infecties te verspreiden. In augustus 2019 ontdekten honderden tandartspraktijken in het hele land dat ze geen toegang meer hadden tot hun patiëntendossiers. Aanvallers gebruikten een gecompromitteerde MSP, in dit geval een softwarebedrijf voor medische dossiers, om meer dan 400 tandartspraktijken die de software voor het bijhouden van dossiers gebruikten, rechtstreeks te infecteren.
Ook in 2019 ontdekte Malwarebytes de Maze-familie van ransomware. Volgens Malwarebytes' 2021 State of Malware Report, "ging Maze verder dan het gijzelen van gegevens-het omvatte een extra dreiging van het publiekelijk vrijgeven van geveegde gegevens als het losgeld niet werd betaald." Een andere ransomwarebende die in hetzelfde jaar verscheen is REvil, ook bekend als "Sodin" of "Sodinokibi". REvil, een geavanceerde ransomwarebende, gebruikt een Ransomware-as-a-Service (RaaS) model om te verkopen aan anderen die hun software willen gebruiken om ransomware-aanvallen uit te voeren.
In 2020 kwam er weer een nieuwe ransomwarefamilie genaamd Egregor op het toneel. Er wordt gedacht dat het een soort opvolger is van de Maze-ransomwarefamilie, omdat veel cybercriminelen die met Maze werkten, overstapten naar Egregor. Net als Maze gebruikt Egregor een "dubbele afpersingsaanval", waarbij ze zowel bestanden versleutelen als gegevens van het slachtoffer stelen die ze dreigen online te publiceren tenzij het losgeld wordt betaald.
Hoewel ransomware-aanvallen op individuen al enkele jaren een probleem vormen, halen ransomware-aanvallen op bedrijven, ziekenhuizen en gezondheidszorgsystemen, scholen en schooldistricten, lokale overheden en andere organisaties in 2021 de krantenkoppen. Van Colonial Pipeline tot grote vleesverpakker JBS tot Steamship Authority, de grootste veerdienst in Massachusetts, ransomware-aanvallers hebben laten zien dat ze in staat en bereid zijn om grote bedrijven te verstoren die alledaagse goederen zoals benzine, voedsel en transport leveren.
In 2021 hebben we de ene krantenkop na de andere gezien over grote ransomware-aanvallen op grote bedrijven en organisaties (zie de nieuwssectie hierboven om er veel over te lezen). Halverwege het jaar zei de Amerikaanse overheid dat ransomware net als terrorisme moest worden onderzocht en creëerde de website StopRansomware.gov om informatie samen te brengen over het stoppen en overleven van ransomware-aanvallen.
Wat zal de rest van 2021 en 2022 brengen in het ransomware-dreigingslandschap? We weten het niet, maar we zullen er zijn om u op de hoogte te houden. Houd deze pagina in de gaten voor toekomstige updates en volg de Malwarebytes Labs blog voor het laatste nieuws op het gebied van cyberbeveiliging.