- Het ziet er nog niet naar uit dat de dreiging van ransomware gaat afnemen; in 2023 bedroegen de betalingen voor ransomware voor het eerst meer dan 1 miljard USD.
- Deze aanvallen worden steeds geavanceerder en maken gebruik van Ransomware-as-a-Service (RaaS)-platforms om bredere en frequentere aanvallen mogelijk te maken.
- RaaS opereert onder een franchisesysteem waarbij een centraal syndicaat ransomwaretools ontwikkelt en deze verhuurt aan aangesloten partijen die de aanvallen uitvoeren. Dit model heeft de drempel voor cybercriminelen verlaagd en de omvang van de aanvallen vergroot.
- Groepen als REvil, DarkSide en LockBit hebben enkele van de meest ontwrichtende ransomwarecampagnes uitgevoerd; daarbij pasten ze tactieken toe als dubbele afpersing, waarbij ze losgeld eisen voor decoderingssleutels en ook voor het voorkomen van datalekken.
- Regelmatige software-updates, een VPN-download en het implementeren van sterke authenticatiemethoden kunnen helpen om verschillende soorten aanvallen af te weren.
- In het geval van een ransomware-aanval zijn aanbevolen stappen niet alleen het isoleren van de dreiging en het niet betalen van losgeld, maar ook het op de hoogte stellen van de wetshandhaving.
Stel je voor dat je dag begint met de schrik van een bevroren computerscherm, waarop niets anders te zien is dan een vraag om geld. Dit was de realiteit voor miljoenen mensen vorig jaar, toen ransomware-aanvallen een ongekende hoogte bereikten en een meedogenloze bedreiging vormden voor zowel individuen als organisaties.
Wat is ransomware?
Ransomware is malware (oftewel kwaadaardige software) die digitale bestanden versleutelt en gijzelt totdat er losgeld wordt betaald. In 2023 ondervond 72,7% van de organisaties wereldwijd een ransomware-aanval, met een gemiddelde kostprijs van 4,54 miljoen USD per aanval, en daar komt nog 1,85 miljoen USD aan herstelkosten bij.
Cybercriminelen gebruiken steeds geavanceerdere encryptiemethoden, waardoor het voor slachtoffers bijna onmogelijk is om hun bestanden te herstellen zonder te betalen. Bovendien maakt het gebruik van cryptocurrency het voor aanvallers mogelijk om anoniem betalingen te ontvangen, wat het opsporen en vervolgen nog lastiger maakt.
De reikwijdte van de aanvallen is uitgebreid van individuele systemen tot het verlammen van hele netwerken, inclusief kritieke infrastructuur en grote bedrijven, wat heeft geleid tot aanzienlijke financiële en operationele verstoringen. En de impact reikt verder dan directe financiële schade. Getroffen organisaties lijden vaak reputatieschade, wat kan leiden tot verlies van vertrouwen bij klanten en partners.
Nederland niet gespaard
In Nederland vonden vorig jaar 147 gemelde ransomware-aanvallen plaats. Dit is waarschijnlijk slechts het topje van de ijsberg, aangezien veel bedrijven uit angst voor imagoschade geen aangifte doen. Ter vergelijking: in Duitsland, waar het verplicht is om een ransomware-aanval te melden, vonden vorig jaar 4000 incidenten plaats, schrijft de NOS.
In een grootschalige internationale operatie hebben de politie en cybersecurity-experts belangrijke infrastructuur van ransomware-criminelen platgelegd. In Nederland werden tientallen servers in beslag genomen die werden gebruikt voor het uitvoeren van ransomware-aanvallen. Nederlandse opslagruimte is populair bij cybercriminelen, dankzij de vele hostingbedrijven en het goede, snelle internet in het land.
Wie wordt slachtoffer?
Ransomware-syndicaten richten zich niet alleen op grote spelers; ze maken gebruik van angst bij iedereen die toegang heeft tot een computer en bankrekening en profiteren zo van onze afhankelijkheid van technologie. Phishing-mails met valse links zijn een veelgebruikte methode om computers te besmetten. De organisaties achter deze botnets hebben honderden miljoenen van dergelijke e-mails verstuurd. De Nederlandse politie biedt nu een handige tool waarmee je kunt controleren of jouw e-mailadres is blootgesteld aan deze aanvallen en wat je kunt doen.
Nu cyberrisico’s volgens de 2024 Allianz Risk Barometer-enquête bovenaan staan in de lijst van wereldwijde zakelijke problemen, zijn de financiële belangen enorm. De economische impact van cybercriminaliteit zal naar verwachting tegen het eind van dit jaar 9,5 biljoen USD bedragen, en zou dankzij de vooruitgang in de AI-technologie tegen 2025 kunnen stijgen tot 10,5 biljoen USD. De kern van deze aanvallen wordt gevormd door de steeds toegankelijker wordende markt van Ransomware-as-a-Service (RaaS)-platforms, beschikbaar voor slechts 40 USD.
Wie zijn deze cybercriminelen?
Maar wie zitten er achter deze operaties? Wat drijft iemand om deel te nemen aan digitale afpersing met hoge inzet? Van sensatiezoekers tot politiek gemotiveerde groepen: de motivaties achter deze aanvallen zijn net zo divers als de aanvallers zelf.
We spraken met ethische hackers en cybersecurity-experts bij ExpressVPN om ons te verdiepen in de duistere wereld van ransomware. Volg ons bij het onderzoeken van de motivaties, tactieken en significante gevolgen van ’s werelds meest formidabele ransomware-syndicaten.
Spring naar …
De groeiende dreiging van ransomware-aanvallen
Wat is ransomware-as-a-service (RaaS)?
De verschillende soorten hackers die RaaS gebruiken
De grootste ransomware-aanvallen ter wereld
De grootste ransomwaregroepen ter wereld
Hoe en waarom worden ransomware-doelwitten gekozen?
Psychologische tactieken gebruikt door ransomwaregroepen
De rol van AI bij ransomware-aanvallen
Bescherm jezelf tegen ransomware
De groeiende dreiging van ransomware-aanvallen
2023 was het slechtste jaar ooit wat betreft ransomware-activiteiten. Nu het totale losgeld is gestegen tot maar liefst 1 miljard USD, zoals werd uitgezocht door Chainalysis, is er een aanzienlijke verschuiving te zien geweest in digitale afpersing. De stijging was niet alleen in geld uit te drukken: CyberInt rapporteerde een dramatische stijging van 56% aan ransomware-incidenten, goed voor meer dan 4.368 aanvallen. Deze informatie bevat ook rapporten van nieuws- en ransomwarebendes die hun slachtoffers vaak bekendmaken op het dark web om hen onder druk te zetten met de dreiging gestolen data te openbaren.
Na een korte daling in 2022 (in dat jaar werd er minder losgeld betaald dan het jaar daarvoor) kende 2023 een sterke comeback. Aangedreven door zowel doorgewinterde hackerscollectieven als formidabele nieuwkomers, bereikte het totale aantal ransomware-betalingen dat via blockchain-netwerken werd bijgehouden een recordhoogte, bijna twee keer zoveel als het voorgaande jaar. Deze heropleving, deels veroorzaakt door de ‘jacht op groot wild’ (ransomware-exploitanten die zich richten op entiteiten die het zich niet kunnen veroorloven om door aanvallen te worden verlamd en die eerder grote losgelden zullen betalen), wijst op een zorgwekkende trend. Een onderzoek door Statista werpt meer licht op de omvang van het probleem, en signaleert dat organisaties wereldwijd in 2023 het duizelingwekkende aantal van 318 miljoen ransomware-pogingen hebben ontdekt.
Wat is Ransomware-as-a-Service (RaaS)?
Een belangrijke factor achter deze stijging is de komst en toegankelijkheid van Ransomware-as-a-Service (RaaS). Dit model werkt zo’n beetje als een franchise; het centrale syndicaat heeft de mogelijkheid ransomware-tools te ontwikkelen en deze te verhuren aan aangesloten bedrijven die de aanvallen uitvoeren. Dit systeem heeft digitale afpersing met hoge inzet gedemocratiseerd, waardoor iedereen die dat wil met slechts een minimale investering verwoestende cyberaanvallen kan lanceren.
“Vroeger moest iemand die je wilde aanvallen in staat zijn die aanval zelf uit te voeren. Nu hebben ze alleen nog de wens nodig en de financiële middelen om deze diensten te verwerven.”
Nathan Hartzell, hoofdbeveiligingsarchitect bij ExpressVPN, legt de diepgaande impact van deze verschuiving uit: “Vroeger moest iemand die je wilde aanvallen in staat zijn die aanval zelf uit te voeren. Nu hebben ze alleen nog de wens nodig en de financiële middelen nodig om deze diensten te verwerven.”
Deze samenwerkingsaanpak verhoogt niet alleen de frequentie van ransomware-aanvallen, maar vergroot ook het bereik en de effectiviteit ervan, doordat zij zich richten op slachtoffers die uiteenlopen van particulieren tot kritieke infrastructuur-organisaties. Partners zetten de ransomware in, versleutelen de bestanden van de slachtoffers en eisen losgeld voor het deblokkeren. De winst wordt gedeeld met de RaaS-provider; zo wordt innovatie en agressie in ransomware-tactieken aangemoedigd.
Groepen die worden ondersteund door RaaS
De toename van RaaS heeft de opkomst van gespecialiseerde ransomwaregroepen mogelijk gemaakt; die gebruiken deze platforms om hun aanvallen uit te voeren en daarmee is cybercriminaliteit toegankelijker geworden dan ooit. Catalin Oancea, bedreigingsjager en analist bij ExpressVPN, werpt licht op de motivaties en methoden van verschillende soorten organisaties verrijkt door RaaS:
- Toegangszoekers of initiële toegangsmakelaars: deze groepen zijn gespecialiseerd in het identificeren en exploiteren van kwetsbaarheden binnen het netwerk van een doelwit. Ze lopen uiteen van geavanceerde aanvallers tot amateur-hackers; ze zorgen ervoor dat ze voet aan de grond krijgen in een systeem en maken de weg vrij voor het implementeren van ransomware. Hun strategieën zijn onder andere phishing en brute force-aanvallen op inloggegevens en servers.
- Datamakelaars: datamakelaars zijn gericht op het stelen of verkrijgen van persoonsgegevens zoals namen, adressen en burgerservicenummers, en verkopen deze informatie op ondergrondse marktplaatsen. Deze gestolen gegevens kunnen worden gebruikt voor verschillende illegale activiteiten, onder andere identiteitsdiefstal en phishing, waarbij vaak wordt samengewerkt met initiële toegangsmakelaars om potentiële slachtoffers op te sporen.
- Spionagebureaus: deze groepen zijn anders dan financieel gemotiveerde traditionele ransomwaregroepen. Ze gebruiken ransomware-aanvallen om bredere geopolitieke doelstellingen te verwezenlijken, zoals het verstoren van de activiteiten van het beoogde land, waarbij het strategische gebruik van ransomware in cyberoorlogvoering wordt benadrukt.
De verschillende soorten hackers die RaaS gebruiken
Het RaaS-model heeft het niet alleen veel makkelijker gemaakt om ransomware-aanvallen te lanceren, maar ook het spectrum verbreed van personen en groepen die bij deze activiteiten betrokken zijn. Door de technische barrière te verlagen heeft RaaS een breed scala aan hackers aangetrokken, elk met hun unieke motieven en methoden:
Black-hat-hackers
Black-hat-hackers houden zich bezig met illegale activiteiten, zoals diefstal van financiële gegevens, de inzet van ransomware of kritieke verstoring van systemen. Door gebruik te maken van RaaS kunnen ze met minimale inspanning meer aanvallen uitvoeren; daarbij gebruiken ze tactieken als aftelklokken en bedreigingen voor het kwijtraken van data om betalingen van hun slachtoffers af te persen.
White-hat-hackers
Deze mensen, ook bekend als ethische hackers, gebruiken hun vaardigheden om kwetsbaarheden in systemen te ontdekken en te verhelpen. Ze werken vaak voor beveiligingsbedrijven of voeren geautoriseerde penetratietests uit, waarbij ze tools gebruiken die vergelijkbaar zijn met die in RaaS om de systeembeveiliging te verbeteren.
Gray-hat-hackers
Grey-hat-hackers maken misbruik van zwakke punten in de beveiliging zonder duidelijke kwade bedoelingen. Ze kunnen RaaS-tools gebruiken om fouten te identificeren en deze publiekelijk bekend te maken, soms zonder de getroffen organisatie hiervan op de hoogte te stellen, om aan te dringen op snel herstel en om het veiligheidsbewustzijn te vergroten.
Hacktivisten
Hacktivisten gebruiken hacking voor politiek of sociaal activisme, waarbij ze organisaties schade toebrengen als een vorm van protest. RaaS stelt hen in staat disruptieve cyberaanvallen uit te voeren en daarmee de publieke aandacht op hun strijdpunt te vestigen.
Scriptkiddies
Dit zijn onervaren hackers die kant-en-klare scripts of hacktools gebruiken om aanvallen uit te voeren. RaaS is voor hen aantrekkelijk omdat het krachtige mogelijkheden biedt zonder dat hiervoor geavanceerde technische kennis nodig is. Ze richten zich op bekende kwetsbaarheden in veelgebruikte systemen.
Spionage-hackers
Deze groepen voeren cyberaanvallen uit om de geopolitieke belangen van hun land te behartigen. Ze gebruiken RaaS vaak voor complexe spionageactiviteiten, waarbij ze zich richten op buitenlandse overheden, defensie-aannemers en grote bedrijven om gevoelige informatie te stelen of operaties te verstoren.
Hartzell wijst er ook op dat deze groepen niet alleen maar op geld uit zijn. “Deze partijen richten zich op industrieën, personen en overheden in lijn met hun nationale doelstellingen. Hacktivisten gaan achter hun meest verachte industrieën aan, terwijl scriptkiddies zich richten op alles waarvan ze denken dat ze het kunnen uitbuiten voor bekendheid.”
De grootste ransomware-aanvallen ter wereld
Een klein bedrijf of zelfs een persoon kan getroffen worden door ransomware. Maar wat de krantenkoppen haalt, gaat over grote organisaties, verstoort essentiële diensten voor talloze klanten en brengt soms het risico op datalekken met zich mee. Daar wordt waarschijnlijk ook om de grootste betalingen gevraagd.
Toch lijken in het grotere geheel van de bedrijfskosten de losgeldeisen nog redelijk beperkt: wat stelt een paar miljoen eigenlijk voor bij een groot bedrijf? Dit geeft aan dat het voor de aanvallers belangrijker is om geld te krijgen dan weerstand te ondervinden. De verliezen voor een bedrijf dat weigert te betalen zijn zeer waarschijnlijk groter dan het losgeld zelf.
Dit zijn enkele van de grootste ransomware-aanvallen:
| Slachtoffer | Aanvaller | Wat is er gebeurd |
| Colonial Pipeline | Darkside | Door de aanval in mei 2021 werden systemen lamgelegd, waardoor brandstof de klanten niet kon bereiken. Colonial Pipeline betaalde binnen enkele uren na de aanval een losgeld van 5 miljoen dollar. Het ministerie van Justitie kon later 2,3 miljoen van de cryptovaluta die werden gebruikt om het losgeld te betalen in beslag nemen. |
| Costa Ricaanse overheid | Conti | In april 2022 lanceerde Conti een ransomware-aanval op Costa Rica, wat leidde tot aanzienlijke vertragingen in het openbaar bestuur en de financiële operaties. De regering van Costa Ricaanse riep de nationale noodtoestand uit en weigerde uitdagend het losgeld van 10 miljoen dollar te betalen, dat werd verhoogd tot 20 miljoen dollar. De verliezen voor Costa Rica bedroegen dagelijks 30 miljoen USD. |
| Impresa | Lapsus$ | In januari 2022 brak Lapsus$ in bij Impresa, een Portugees mediaconglomeraat, en haalde verschillende websites en tv-kanalen offline. Lapsus$ heeft online een enorme hoeveelheid gevoelige data gelekt, waaronder e-mails, contracten en persoonsgegevens van werknemers en klanten. |
| Windows-systemen, met name de Britse National Health Service | Lazarus Group | De WannaCry-ransomwareaanval in 2017 trof systemen over de hele wereld door misbruik te maken van kwetsbaarheden in Microsoft Windows. Het had gevolgen voor organisaties als de NHS in Groot-Brittannië, telecommunicatiebedrijven en diverse andere bedrijven overal ter wereld, en veroorzaakte wijdverbreide ontwrichting en economische verliezen. |
De grootste ransomware-groepen ter wereld
Ransomwaregroepen zijn zo geraffineerd geworden dat ze opereren als bedrijf, en naar verluidt heeft Conti, een van de grootste, zelfs een eigen HR-afdeling. Maar ransomwaregroepen kunnen snel komen en gaan; vaak stoppen ze na een ultra-high-profile aanval en veranderen dan in een andere organisatie. Soms werken internationale instanties samen om groepen uit te schakelen. Dat houdt het opduiken van nieuwe groepen niet tegen.
Wie zijn tegenwoordig de belangrijkste spelers en wat doen ze? Hier zijn enkele van de grootste groepen van dit moment.
BlackBasta
BlackBasta betrad begin 2022 de ransomware-scene, vermoedelijk afgesplitst van Conti, dat talloze grote namen had aangevallen en een begrip werd tijdens zijn aanval op de regering van Costa Rica. Dit betekent dat leden van BlackBasta vanaf het begin veel ervaring hadden.
Het debuut van BlackBasta was allesbehalve subtiel. Het bouwde al snel een formidabele reputatie op, voornamelijk door het toepassen van dubbele afpersingstactieken. Deze strategie omvat twee vormen van losgeld: een voor de decoderingssleutel om de data van het slachtoffer te ontgrendelen en een andere om het openbaren van de gestolen informatie te voorkomen.
Vorig jaar zou de groep vermoedelijk verantwoordelijk zijn geweest voor het afpersen van ten minste 107 miljoen USD in Bitcoin en het doorsluizen van het geld via de cryptocurrencybeurs Garantex.
1. BlackCat (ALPHV)
BlackCat (ook bekend onder de aliassen ALPHV of Noberus) dook op in november 2021 en zou zijn gevormd door voormalige leden van het inmiddels ter ziele gegane Darkside, dat berucht was door de aanval op de Colonial Pipeline. De malware van de groep richt zich op Windows- en Linux-systemen. BlackCat is berucht vanwege zijn drievoudige afpersingsstrategie, waaronder het eisen van losgeld om bestanden te decoderen, de belofte om geen gestolen gegevens te lekken en het voorkomen van gedistribueerde denial-of-service (DDoS)-aanvallen.
Volgens de FBI zijn ruim 1.000 slachtoffers wereldwijd aangevallen door BlackCat. Het bedrijf opereert volgens het RaaS-model en rekruteert partners via cybercriminaliteitsforums. Opmerkelijke doelwitten zijn onder meer OilTanking GmbH in januari en Swissport in februari eerder dit jaar, waar 1,6 TB aan vertrouwelijke data werd gestolen, waaronder interne communicatie en privégegevens. Ondanks dat Swissport binnen twee dagen de inbreuken had beperkt, bracht BlackCat de gestolen data op de markt, waarmee de dubbele afpersingstactiek werd gedemonstreerd.
2. Clop
Clop, ook wel Cl0p genoemd, is een prominente ransomwaregroep die bekend staat om zijn geavanceerde, meerlaagse afpersingsplannen en wijdverspreide invloed. De organisatie is berucht vanwege het inzetten van ransomware-aanvallen die de data van een slachtoffer versleutelen, waarbij doorgaans de extensie ‘.clop’ aan de versleutelde bestanden wordt toegevoegd, wat hun duidelijke voetafdruk in de cybercriminaliteitsarena markeert. Hun targets omvatten verschillende sectoren, waaronder financiële instellingen, aanbieders van kritieke infrastructuur, gezondheidszorgorganisaties, grote ondernemingen en onderwijsinstellingen.
Onlangs zou de groep misbruik hebben gemaakt van een zero-day-kwetsbaarheid in MOVEit Transfer van Progress Software, een tool die wordt gebruikt voor bedrijfsbestandsoverdracht. Clop lanceerde een wijdverbreide aanval, waarbij gegevens werden gestolen van verschillende organisaties over de hele wereld, waaronder overheden, publieke en zakelijke organisaties. Bekende slachtoffers van de aanval waren onder meer het openbare schoolsysteem in New York City en een in Groot-Brittannië gevestigd bedrijf voor HR-oplossingen en salarisadministratie, dat klanten heeft als British Airways en BBC.
3. LockBit
LockBit biedt verschillende versies van hun RaaS-software.
LockBit, opgericht in 2019, is snel uitgegroeid tot een van de meest prominente ransomwaregroepen ter wereld; zij hebben meer dan 120 miljoen USD aan losgeld ontvangen.
Het opereert volgens een RaaS-model en levert geavanceerde malware- en aanvalsinfrastructuur aan zijn dochterondernemingen, die de aanvallen uitvoeren en de winst delen. De groep richt zich op een breed scala aan sectoren, waaronder energie, productie, overheid, gezondheidszorg en onderwijs, en dat onderstreept de brede en ernstige dreiging die zij vormen.
LockBit kreeg dit jaar een grote klap te verwerken, toen de Amerikaanse en Britse wetshandhavingsinstanties websites in beslag namen die de groep gebruikte voor de coördinatie en servers die ze voor operaties gebruikten. Er werden ook twee mensen aangeklaagd. De groep kan waarschijnlijk niet meer voortbestaan.
4. REvil
REvil, ook bekend als de Sodinokibi-ransomwaregroep, opereert volgens een RaaS-model. Bij deze werkwijze wordt kwaadaardige software gemaakt en verhuurd die de bestanden van slachtoffers versleutelt. Affiliates gebruiken deze ransomware om zowel personen als bedrijven te targeten en betalingen te eisen om de data te decoderen, waarbij REvil een deel van de winst opeiste.
De groep heeft bekendheid verworven omdat ze zich richtte op spraakmakende slachtoffers zoals Apple. Ze beheren ook een darkweb-marktplaats, Happy Blog, waar ze dreigen gestolen informatie te publiceren tenzij er losgeld wordt betaald. Ondanks internationale inspanningen op het gebied van wetshandhaving (waaronder samenwerking vanuit Rusland) om hun activiteiten begin 2022 aan banden te leggen, blijven de faam en methoden van REvil een sterke herinnering vormen aan de gevaren van RaaS en de voortdurende dreiging van ransomware-aanvallen.
Hoe en waarom worden ransomware-doelwitten gekozen?
Hoewel iedereen het slachtoffer kan worden van ransomware-aanvallen, richten syndicaten zich volgens Hartzell op degenen die betrokken zijn bij belangrijke zakelijke evenementen zoals fusies of productlanceringen. Deze periodes zijn aantrekkelijk vanwege de kans op reputatieschade en effecten op de aandelenkoersen, waarbij sectoren als de financiële sector, de gezondheidszorg en kritieke infrastructuur de voorkeur genieten vanwege hun operationele betekenis. Een FBI-rapport benadrukt dat aanvallers hun operatie ook strategisch timen tijdens bedrijfsonderbrekingen, zoals weekends en vakanties, om te profiteren van verminderde verdedigingsactiviteiten.
“[Rijke mensen] worden doelwit omdat hun persoonsgegevens als e-mail-, Facebook- of Instagram-accounts te vinden zijn tussen de duizenden of miljoenen op een lijst die door hackers is gekocht voor gebruik bij geautomatiseerde aanvallen.”
De dreiging reikt echter verder dan bedrijven en richt zich ook op personen, vooral als ze een publiek profiel hebben of enorm rijk zijn. “Meestal worden [rijke mensen] doelwit omdat hun persoonsgegevens als e-mail-, Facebook- of Instagram-accounts te vinden zijn tussen de duizenden of miljoenen op een lijst die door hackers is gekocht voor gebruik bij geautomatiseerde aanvallen”, legt Hartzell uit.
Dit soort directe afpersing is duidelijk aangetoond door incidenten als inbreuk bij de Vastaamo psychotherapiekliniek in Finland. De inbreuk in de kliniek, aanvankelijk in 2018 en opnieuw in 2019, resulteerde in de diefstal van tienduizenden patiëntendossiers die zeer gevoelige informatie bevatten. Eind 2020 escaleerde de situatie toen aanvallers zowel de kliniek als haar individuele patiënten rechtstreeks begonnen af te persen. Ze eisten aanzienlijke losgelden, ongeveer een half miljoen dollar in Bitcoin van de kliniek en ongeveer 240 dollar van elke patiënt, om te voorkomen dat hun vertrouwelijke therapiesessies openbaar zouden worden gemaakt.
Psychologische tactieken gebruikt door ransomwaregroepen
Het is duidelijk dat ransomware-aanvallen systemen ontwrichten en een grote impact hebben op de psychologische toestand van hun slachtoffers. Vandaag de dag willen ransomwaregroepen niet alleen systemen lamleggen, maar ook slachtoffers tot wanhoop drijven. Velen voelen zich in het nauw gedreven en overweldigd en hebben het gevoel dat het betalen van het losgeld hun enige redding is.
Dreigen met het lekken van informatie op openbare shaming-sites
Eerder dit jaar deed zich een zeer zorgwekkende trend voor waarbij afpersingsmethoden tegen tienerjongens betrokken waren. Bij deze sextortion-zwendel dreigden de daders privéfoto’s vrij te geven die onder de tieners werden gedeeld, en dat leidde zelfs tot een aantal zelfmoorden. Deze gevallen illustreren duidelijk hoe de bedreigers nu gebruikmaken van een methode om iemand in het openbaar te schande te zetten, en zo slachtoffers te dwingen losgeld te betalen. Bij deze methode dreigen cybercriminelen persoonlijke informatie, zoals financiële gegevens, intieme afbeeldingen of privéberichten, openbaar te maken op websites die gemakkelijk online of via het dark web toegankelijk zijn, tenzij er losgeld wordt betaald. Deze strategie maakt gebruik van de angst voor reputatieschade en de mogelijke juridische gevolgen die gepaard gaan met het openbaar maken van vertrouwelijke informatie.
Door gebruik te maken van openbare shaming-sites creëren aanvallers enorme druk op zowel personen als organisaties. De dreiging dat iemands privé-informatie openbaar wordt gemaakt, kan tot aanzienlijk emotioneel leed leiden en ertoe leiden dat snel wordt voldaan aan losgeldeisen om verdere schade te voorkomen.
Virtuele en fysieke intimidatie
Ransomwaregroepen passen steeds vaker andere soorten intimidatiestrategieën toe om hun slachtoffer te desoriënteren en onder druk te zetten. Door misbruik te maken van gegevens die tijdens de eerste inbreuken zijn gestolen, plegen sommige aanvallers directe intimidatie van werknemers via telefoontjes, e-mails of zelfs door bedrijfsprinters te gijzelen om losgeld te eisen. Deze directe aanpak creëert paniek en urgentie. Bovendien vergroot het gebruik van aftelklokken deze druk door een strikte deadline te stellen. Als het losgeld niet binnen deze termijn wordt betaald, kan het gevraagde bedrag stijgen of kan de toegang tot essentiële data permanent verloren gaan.
Social engineering
Social engineering is een misleidende techniek die door cybercriminelen wordt gebruikt om mensen te manipuleren om vertrouwelijke informatie prijs te geven of toegang te krijgen tot beveiligde systemen. Deze methode maakt misbruik van fundamenteel menselijk gedrag – zoals het reageren op urgente verzoeken, de aantrekkingskracht van gratis aanbiedingen of angst – en verleidt slachtoffers er zo toe beveiligingsfouten te maken. Veel voorkomende tactieken zijn onder meer:
- Phishing: het verzenden van valse e-mails die afkomstig lijken te zijn van vertrouwde bronnen om ontvangers te misleiden om persoonlijke informatie prijs te geven of op kwaadaardige links te klikken.
- Baiting: het aanbieden van iets verleidelijks, zoals gratis cadeaubonnen, om slachtoffers te verlokken tot interactie met bestanden of links die malware bevatten..
Zodra het vertrouwen is gewekt, kunnen aanvallers het slachtoffer vragen om op een link te klikken of een bijlage te downloaden die hun systeem met malware infecteert. Hartzell legt uit: ‘Social engineering maakt gebruik van fundamentele menselijke neigingen: onze reactie op urgente verzoeken, hebzucht of angst. De meest effectieve tegenmaatregel is het bevorderen van een cultuur van scepticisme.”
Gerichte aanvallen
Cyberaanvallers verfijnen steeds meer hun strategieën om hun campagnes persoonlijker en directer te maken. Ze gebruiken de namen van de slachtoffers in phishing-e-mails of losgeldeisen, waardoor de bedreigingen directer lijken. Een dergelijke persoonlijke aanpak is bedoeld om snelle actie van het doelwit te bewerkstelligen.
De verfijning van deze aanvallen is toegenomen dankzij de vooruitgang in cyberbeveiligingstechnologie, zoals verbeterde e-mailfilters, geavanceerde antivirusprogramma’s en machine learning-tools.
Oancea legt de verandering in tactiek uit. Hij zegt dat cybercriminelen in het verleden miljoenen algemene spamberichten stuurden. Dankzij verbeterde detectietechnologie worden deze brede aanvallen nu vaak gestopt voordat ze gebruikers bereiken. De huidige syndicaten zullen eerder gerichte methoden gebruiken die moeilijker te detecteren zijn en urgenter voor de ontvanger. ”
De rol van AI in ransomware-aanvallen
Een andere belangrijke manier waarop cybercriminelen hun aanvallen personaliseren is de integratie van kunstmatige intelligentie (AI) in hun strategieën.
Verbeterde phishing-aanvallen
AI-technologie stelt aanvallers in staat overtuigender en geavanceerder phishing-campagnes te creëren. Door gebruik te maken van deepfake-technologie kunnen criminelen realistische audio- en visuele content creëren en verspreiden. In 2023 was er bijvoorbeeld een voorval waarbij deepfake-beelden van zwarte rook boven het Pentagon tijdelijk chaos en koersdalingen veroorzaakten.
Geraffineerde vishing-oplichting
Bovendien speelt AI een essentiële rol bij het uitvoeren van vishing-zwendel die griezelig authentiek lijkt. Deze door AI gegenereerde telefoongesprekken bootsen met hoge nauwkeurigheid menselijke stemmen na, waardoor de nep-interacties echt en betrouwbaar lijken. Deze geavanceerde techniek gaat verder dan traditionele phishing en spear-phishing en omvat gedetailleerde interacties die zijn ontworpen om het doelwit te verleiden tot onveilig gedrag.
Gestroomlijnde doelidentificatie
Het vermogen van AI om grote datasets snel te analyseren verbetert ook de efficiëntie van cybercriminele operaties. Door de identificatie van potentiële doelwitten te automatiseren, zorgt AI ervoor dat cybercriminelen hun middelen effectiever kunnen inzetten, waardoor de tijd die nodig is voor het plannen en uitvoeren van aanvallen wordt verkort.
Deze ontwikkelingen op het gebied van AI-ondersteunde cyberaanvallen benadrukken nog meer de noodzaak voor de samenleving om een proactieve en adaptieve cyberbeveiligingsaanpak te hanteren.
Bescherm jezelf tegen ransomware
Nu de omvang en verfijning van ransomware-aanvallen blijven escaleren, wordt bescherming tegen deze cyberbedreigingen superbelangrijk. Studies, waaronder het Thales Threat Report, constateren consequent dat menselijke fouten de belangrijkste oorzaak van datalekken zijn. Dit onderstreept het belang van uitgebreide cyberbeveiligingstraining en robuuste technische verdediging. Hieronder onderzoeken we enkele dingen die je zelf kunt doen om je digitale verdediging te versterken en je data te beschermen tegen ransomware-bedreigingen:
Houd je software up-to-date
Door je software regelmatig bij te werken, verhelp je lekken in de beveiliging en minimaliseer je het risico op ransomware-infecties. Cybercriminelen maken vaak misbruik van bekende kwetsbaarheden in verouderde systemen, dus actueel blijven is je eerste verdedigingslinie.
Gebruik een VPN
Het downloaden van een VPN kan je digitale veiligheid versterken, vooral op openbare wifi-netwerken. Een VPN kan niet voorkomen dat je ten prooi valt aan phishing- of malware-aanvallen, maar hij versleutelt je internetverbinding, waardoor je data worden afgeschermd voor cybergluurders en eventuele graaiers.
Gebruik sterke authenticatieprocessen
Implementeer robuuste authenticatiemethoden zoals multi-factor authenticatie (MFA) of twee-factor authenticatie (2FA). Deze methoden voegen een cruciale beveiligingslaag toe, waardoor het voor aanvallers aanzienlijk moeilijker wordt om ongeautoriseerd toegang te verkrijgen, zelfs als ze over enkele van jouw inloggegevens beschikken.
Blijf waakzaam en sceptisch
Blijf alert op de nieuwste cyberdreigingen en phishing-tactieken. Wees sceptisch tegenover onverwachte verzoeken of berichten, vooral als ze links of bijlagen bevatten, en verifieer de authenticiteit ervan voordat je reageert of klikt.
“Niemand gaat je gratis geld sturen per e-mail, en je bank stuurt je geen e-mail als er zorgen zijn over je geld,” legt Hartzell uit. “Een bank gaat je bellen. Echte advocaten zullen je mondeling vertellen dat er geld uit een onverwachte hoek komt. Je internetprovider belt je niet als ze ‘slecht verkeer van je thuisrouter’ detecteren. Als het gek klinkt of te mooi om waar te zijn, neem dan aan dat dit zo is en onderzoek de bron.”
Installeer vertrouwde beveiligingssoftware
Implementeer uitgebreide beveiligingsoplossingen die realtime bescherming bieden. Zoek naar anti-malware- en antivirusprogramma’s die hun bedreigingsdatabases voortdurend bijwerken en robuuste monitoringtools bieden om opkomende bedreigingen te detecteren en te blokkeren.Gebruik geavanceerde beveiligingssoftware.
Implementeer uitgebreide beveiligingsoplossingen zoals Advanced Threat Protection (ATP), Endpoint Detection and Response (EDR) en Security Information and Event Management (SIEM)-systemen. Deze tools bieden bredere verdedigingsmechanismen dan traditionele antivirussoftware door dat zij geavanceerde bedreigingen detecteren en daarop reageren.
Maak een back-up van je data
Volg de 3-2-1-back-upregel: bewaar drie kopieën van je data, sla ze op twee verschillende soorten media op en bewaar één back-up extern. Test je back-ups regelmatig, zodat je ze bij een aanval snel kunt terugzetten..
Regelmatige training en gesimuleerde phishing-tests
Zorg dat jijzelf en je personeel op de hoogte zijn van de nieuwste cyberdreigingen en verdedigingsstrategieën. Regelmatige trainingssessies en gesimuleerde aanvallen kunnen je voorbereiden om beveiligingsbedreigingen in realtime beter te identificeren en erop te reageren.
Naleven van wet- en regelgeving
Zorg voor naleving van relevante wettelijke en regelgevende kaders voor gegevensbescherming. Deze helpen niet alleen bij het beschermen tegen aansprakelijkheid, maar verbeteren ook je algehele cyberbeveiligingspositie.
Wat moet je doen als je het slachtoffer bent van ransomware
Ook al doe je nog zo je best om je gegevens en systemen te beschermen, het is de realiteit dat ransomware nog steeds je verdediging kan doorbreken. Dit is vaak te wijten aan de geraffineerde en steeds evoluerende tactieken die worden gebruikt door cybercriminelen die zelfs de kleinste kwetsbaarheden misbruiken. Hier is een stapsgewijze handleiding voor wat je moet doen als je in deze stressvolle situatie terecht bent gekomen:
1. Isoleer de dreiging snel
De eerste stap is voorkomen dat de ransomware zich verder verspreidt. Koppel het besmette apparaat los van alle internet- en lokale netwerkverbindingen, of het nu een computer of smartphone is. Als het geïnfecteerde apparaat deel uitmaakt van een werknetwerk, informeer dan onmiddellijk de IT-afdeling om inperkingsprotocollen te initiëren.
2. Betaal geen losgeld
Hoewel het misschien een snelle oplossing lijkt, is het betalen van het losgeld riskant, omdat er geen garantie is dat je weer toegang krijgt tot je bestanden. Het toegeven aan de eisen van de aanvallers voedt alleen maar de cyclus van toekomstige ransomware-aanvallen.
3. Bekijk je back-upopties
Als je regelmatig schone back-ups van je data maakt, kun je misschien je bestanden herstellen zonder tussenkomst van de aanvallers. Deze stap maakt maar weer duidelijk hoe groot het belang is van een consistente back-up strategie als onderdeel van je best practices op het gebied van cyberbeveiliging.
4. Meld het incident
Breng de lokale politie op de hoogte van de cyberaanval. Zij houden gegevens bij van dergelijke incidenten en kunnen hulp of begeleiding bieden. Meld de inbreuk bovendien aan alle relevante cyberveiligheidsdiensten of rechtstreeks aan het betrokken platform, zoals Apple of Microsoft, vooral als het risico bestaat dat de aanvallers jouw betalingsgegevens te pakken hebben gekregen.
5. Voer een malwarescan uit
Gebruik gerenommeerde antivirus- of antimalwaretools om je apparaat grondig te scannen op overgebleven ransomware en andere schadelijke software. Bij uitgebreide infecties kun je overwegen een cyberbeveiligingsexpert te raadplegen om ervoor te zorgen dat je apparaat grondig wordt gereinigd.
6. Werk je beveiligingsgegevens bij
Wijzig de wachtwoorden voor alle accounts waartoe toegang wordt verkregen via het gehackte apparaat; daarbij ligt de nadruk op vertrouwelijke accounts zoals die voor e-mail en bankieren. Het is ook verstandig om waar mogelijk multi-factor authenticatie in te schakelen.
Veelgestelde vragen over ransomware-groepen
Wat zijn de grootste ransomwaregroepen?
Per mei 2024 zijn enkele van de meest prominente ransomwaregroepen:
- REvil/Sodinokibi: REvil staat bekend om zijn aanvallen op grote bedrijven en het eisen van substantiële losgelden en zit achter talloze spraakmakende aanvallen, waaronder de beruchte aanval op JBS Foods in 2021.
- DarkSide: Verwierf bekendheid vanwege de aanval op de Colonial Pipeline in mei 2021, die leidde tot aanzienlijke verstoringen van de brandstoftoevoer in het oosten van de Verenigde Staten. Ze maken vaak gebruik van een ‘dubbele afpersing’-tactiek, waarbij ze de gegevens van de slachtoffers versleutelen en dreigen deze te lekken als het losgeld niet wordt betaald.
- Conti: Conti is een doorontwikkeling van de Ryuk-ransomware, is actief sinds 2020 en staat bekend om zijn snelle encryptieproces en grootschalige operaties gericht op overheidsinstanties, gezondheidszorg en hulpdiensten.
- LockBit: LockBit duikt in 2019 op en opereert onder een ransomware-as-a-service (RaaS)-model, waardoor aangesloten bedrijven de ransomware kunnen inzetten en de kernontwikkelaars een deel van de winst krijgen. LockBit 2.0, hun bijgewerkte versie, introduceerde geautomatiseerde encryptiefuncties die dreigen gestolen gegevens te publiceren als er geen losgeld wordt betaald.
Wie zitten er achter ransomware?
De mensen achter ransomware-operaties maken vaak deel uit van georganiseerde groepen cybercriminelen. Deze groepen kunnen sterk variëren in omvang en structuur, van kleine teams tot grote, geavanceerde netwerken met tientallen leden. Hier volgen enkele belangrijke kenmerken van de personen en groepen die doorgaans betrokken zijn bij ransomware-activiteiten:
- Cybercriminele syndicaten: Veel van de meest prominente ransomwaregroepen opereren als professionele organisaties, met leiders, ontwikkelaars, onderhandelaars en aangesloten partijen. Deze syndicaten zijn vaak gevestigd in landen waar de handhaving van cybercriminaliteit beperkt is en kunnen relatief ongestraft opereren.
- Hackers en ontwikkelaars: Dit zijn de personen die de ransomwarecode maken en de functionaliteiten ervan bijwerken. Ze zijn bedreven in softwareontwikkeling en maken vaak gebruik van kwetsbaarheden in software en netwerken om ransomware in te zetten.
- Geassocieerden: In ransomware-as-a-service (RaaS)-modellen werven de kernontwikkelaars van ransomware partners die verantwoordelijk zijn voor de verspreiding van de malware. Deze partners ontvangen doorgaans een deel van het losgeld in ruil voor hun inspanningen om systemen te infecteren.
- Witwassers en financiële behandelaars: Deze operators beheren de financiële transacties en de witwasaspecten van de losgeldoperatie. Ransomwaregroepen eisen vaak betalingen in cryptocurrencies, waarvoor expertise nodig is op het gebied van het beheren en witwassen van digitale valuta om tracking en tracing te voorkomen.
- Insiders: Soms kunnen insiders binnen organisaties (werknemers, aannemers of andere personen met toegang) ransomware-aanvallen faciliteren, bewust of onbewust. Ze kunnen toegang bieden tot systemen of gevoelige informatie die de inzet van ransomware mogelijk maakt.
- Technische ondersteuning en onderhandelaars: bepaalde groepen hebben leden die zich bezighouden met het onderhandelen over losgeldbetalingen met slachtoffers, waarbij ze instructies geven over hoe ze het losgeld moeten betalen en zelfs technische ondersteuning bieden aan slachtoffers bij het ontsleutelen van hun gegevens zodra het losgeld is betaald.
Wat zijn de drie soorten ransomware?
De drie belangrijkste soorten ransomware zijn:
- Versleutelende ransomware: dit type ransomware versleutelt bestanden op het systeem van het slachtoffer, waardoor ze ontoegankelijk worden totdat er losgeld wordt betaald. De decoderingssleutel wordt doorgaans vastgehouden door de aanvallers; zij eisen betaling in ruil voor het verstrekken van de sleutel om de bestanden te ontgrendelen.
- Locker-ransomware: locker-ransomware sluit het slachtoffer buiten zijn hele systeem, waardoor de toegang tot bestanden, applicaties en soms zelfs tot het besturingssysteem zelf onmogelijk wordt gemaakt. Slachtoffers krijgen meestal een bericht te zien waarin wordt gevraagd om betaling om weer toegang te krijgen tot hun systeem.
- Scareware: Scareware is een type ransomware dat social engineering-tactieken gebruikt om slachtoffers te laten geloven dat hun computer is geïnfecteerd met malware of dat ze een wettelijke overtreding hebben begaan. De ransomware vraagt het slachtoffer vervolgens om een vergoeding te betalen om de vermeende dreiging weg te nemen of juridische gevolgen te voorkomen.
Kun je de gevangenis ingaan voor ransomware?
Ja, je kunt naar de gevangenis gaan als je je bezighoudt met ransomware-activiteiten. Ransomware-aanvallen worden in veel rechtsgebieden over de hele wereld als ernstige strafbare feiten beschouwd, ook in de Verenigde Staten, de Europese Unie en veel andere landen. Deze misdrijven vallen doorgaans onder wetten met betrekking tot computercriminaliteit, cyberterrorisme, fraude en afpersing.
Is het illegaal om een hacker te zijn?
Of hacken illegaal is, hangt grotendeels af van de motieven en acties van de hacker. In de cybersecuritywereld worden hackers op basis van hun bedoelingen ingedeeld in white- en black hat-hackers.
Legaal hacken
White hat hackers (ook wel genoemd “ethische hackers”) zijn cyberbeveiligingsprofessionals die hun vaardigheden gebruiken om systeemkwetsbaarheden te identificeren en op te lossen met toestemming van de systeemeigenaar. Ze richten zich op het verbeteren van de veiligheid en het beschermen van data en infrastructuur tegen kwaadwillige aanvallen, waarbij ze opereren binnen wettelijke en ethische kaders.
Evenals ethisch hacken zijn penetratietests een toegestane activiteit waarbij beveiligingsprofessionals cyberaanvallen op een systeem simuleren om de verdediging ervan te testen. Bedrijven huren vaak beveiligingsbedrijven in om penetratietests uit te voeren op hun infrastructuur.
Onderzoekers hacken soms systemen om malware te bestuderen, kwetsbaarheden te ontdekken of beveiligingsoplossingen te ontwikkelen. Dit soort hacking gebeurt meestal onder strikte ethische richtlijnen, vaak met toestemming van de eigenaren van het systeem
Illegaal hacken
Black hat hackers houden zich daarentegen bezig met illegale activiteiten voor persoonlijk gewin of kwade bedoelingen zoals datadiefstal, privacyschendingen en systeemschade. Hun acties, gedreven door motieven als financieel gewin of spionage, resulteren vaak in slopende gevolgen voor hun slachtoffers, waaronder financieel verlies en reputatieschade.
Een derde categorie, grey hat hackers, bevindt zich in een moreel grijs gebied tussen white en black hat hackers. Ze kunnen kwetsbaarheden identificeren en exploiteren zonder toestemming, maar zonder kwade bedoelingen, en soms zelfs de problemen aan de eigenaren rapporteren. Het ongeoorloofde karakter van hun activiteiten kan echter nog steeds leiden tot juridische gevolgen.
