Sinds 2020 volgt BAE Systems Applied Intelligence de evolutie en progressieve dominantie van ransomware in het dreigingslandschap. Bedreigingsactoren in deze ruimte hebben op grote schaal een techniek aangenomen die 'dubbele afpersing' wordt genoemd, waarbij gegevens die van slachtoffers zijn gestolen, worden blootgelegd op lekkende sites die vaak alleen toegankelijk zijn op het Dark Web. Meer dan 4,000 organisaties zijn verschenen op de 20+ leksites BAE Systems Toegepaste Intelligentie tracks op elk willekeurig moment, met iets meer dan 2,700 hiervan alleen al in 2021.
De Verenigde Staten hebben het zwaarst te lijden gehad van deze ransomware-activiteit en huisvesten meer dan de helft van de ransomware-slachtoffers die in 2021 werden geïdentificeerd; Canada, Groot-Brittannië en Frankrijk zijn de volgende meest getroffen, die elk slechts 5% van de geïdentificeerde slachtoffers vertegenwoordigen. Industriële en productieorganisaties hebben hun eigen aandeel in de aandacht gezien, waarbij iets meer dan een kwart van de slachtoffers in deze sector terechtkwam. De sectoren retail en zorg volgen met respectievelijk 9% en 6%.
Ransomware bestrijden
Er waren een aantal spraakmakende gevallen van ransomware in 2021, met misschien wel de meest opvallende: aanval op koloniale pijpleiding in mei. Hier eisten de DarkSide ransomware-operators een betaling van 75 bitcoins, een bedrag dat gelijk zou zijn aan meer dan $ 4 miljoen.
Bitcoin dient als een constante in de meeste gevallen van ransomware die BAE Systems Applied Intelligence heeft waargenomen, met een aantal andere spraakmakende gevallen, zoals een aanval op JBS USA in mei waarbij de REvil-ransomware betrokken was, waarbij een losgeld van $ 11 miljoen werd betaald in bitcoins, en de exploitatie van Keseya VSA, waar een losgeld van $ 70 miljoen aan bitcoins werd geëist in ruil voor een gecombineerde decryptor voor alle ongeveer 1,500 getroffen organisaties.
Van deze gevallen is de aanval op Colonial Pipeline misschien wel de meest interessante, en niet alleen omdat het ertoe leidde dat het bedrijf, dat 45% van de brandstof aan de oostkust van de VS levert, zijn activiteiten een tijdje moest stilleggen. Ongeveer een maand nadat het bedrijf de aanvallers had betaald, het Amerikaanse ministerie van Justitie aangekondigd het had ongeveer 85% van de 75 totale bitcoins die als losgeld waren betaald, teruggekregen.
Gezien deze inbeslagname, waaruit blijkt dat Bitcoin misschien niet de onfeilbare, niet-traceerbare vorm van valuta is die het soms wordt beweerd te zijn, heeft BAE Systems Applied Intelligence voorspeld dat in 2022 dreigingsactoren zullen beginnen af te wijken naar andere cryptocurrencies, zoals Monero, waar traceren veel moeilijker is. De exploitanten van een bepaalde ransomware-stam, Grief, volgden deze trend in 2021, met chatlogboeken die hun voorkeur voor Monero lieten zien door een korting aan te bieden in vergelijking met het gevraagde bedrag in bitcoins.
Het terugvorderen van geld is slechts één geval van wetshandhavingsacties die de afgelopen jaren zijn ondernomen tegen ransomware-groepen, waarbij individuen gelinkt zijn aan grote ransomware-varianten zoals revil, Klop, egregor, GandCrab, en meer worden gearresteerd. Het meest interessante stuk van recente wetshandhavingsactie is die van de Russische Federale Veiligheidsdienst (FSB) tegen de exploitanten van de REvil-ransomware, wat mogelijk een verschuiving aantoont in de houding van Rusland om te ontkennen dat exploitanten van ransomware een veilige haven in het land hebben gekregen, in plaats daarvan om de VS te helpen na gesprekken met de president in 2021.
Kijkend naar de toekomst
Met de dominantie van ransomware in het criminele dreigingslandschap, is de vraag hoe dat landschap er in de toekomst uit zal zien een interessante.
In 2021 zag BAE Systems Applied Intelligence een trend die aantoonde dat de mediane omzet van gecompromitteerde organisaties begon te dalen, terwijl een andere trend erop wees dat het percentage van in de VS gevestigde organisaties dat werd gecompromitteerd ook daalde. Terwijl de tweede weer lijkt af te vlakken, lijkt de daling van de mediane omzet van gecompromitteerde organisaties zich voort te zetten.
Er zijn waarschijnlijk een aantal onderliggende redenen voor deze trends. Gezien de golf van spraakmakende Amerikaanse organisaties die recentelijk zijn gecompromitteerd en de daaruit voortvloeiende aandacht van de wetshandhaving, kiezen ransomware-operators mogelijk voor die organisaties die minder geografische en politieke aandacht zullen trekken en die mogelijk een slechtere beveiligingspositie hebben als gevolg van hun omvang .
Het verbieden van ransomware-betalingen is een van de vele manieren om het ransomware-probleem mogelijk tegen te gaan en kan, indien correct uitgevoerd, een aanzienlijke impact hebben. Dit zou echter een zorgvuldige coördinatie met wetshandhaving, de verzekeringssector en andere belanghebbenden vergen, en mag niet ten koste gaan van initiatieven om de veiligheidshouding van de organisatie te verbeteren.
Ransomware blijft een grote bedreiging vormen voor organisaties over de hele wereld, een feit dat wordt benadrukt door het onderzoek van BAE Systems Applied Intelligence, en een feit waarvan we niet geloven dat dit in de nabije toekomst zal veranderen.
Over de auteur
Dan Alexander is het hoofd van Threat Intelligence bij BAE Systems Applied Intelligence, waar hij leiding geeft aan een wereldwijd gedistribueerd inlichtingenteam dat unieke inzichten verschaft in het dreigingslandschap. Zijn team is gespecialiseerd in het volgen en rapporteren van dreigingsgroepen van het hoogste niveau die traditionele netwerkbeveiligingen missen. Dan geeft ook leiding aan de Threat Advisory-services van BAE Systems en levert de bedreigingsinformatiecomponent van door inlichtingen geleide penetratietests.
