De plaag van ransomware blijft groeien en succesvol blijken voor aanvallers, volgens het Ransomware Radar Rapport 2024 van Rapid7. Dit rapport benadrukt een aanzienlijke toename in aanvallen en datalekken, samen met een grotere verfijning in de tactieken die door cybercriminelen worden gebruikt.
Toename van Groepen en Aanvallen
In 2024 heeft de dreiging van ransomware een nog ernstiger niveau bereikt in vergelijking met 2023. Gedurende de eerste helft van het jaar heeft Rapid7 meer dan 2.500 ransomware-aanvallen getraceerd, wat neerkomt op meer dan 14 openbare incidenten per dag. Dit aantal zou nog veel hoger kunnen zijn als we de niet gerapporteerde aanvallen en die gevallen waarbij het losgeld werd betaald zonder gegevensuitval in aanmerking nemen.
Het rapport toont een toename in het aantal postings op gegevenslekwebsites, van een gemiddelde van 24 per maand in het eerste semester van 2023 tot 40 per maand in dezelfde periode van 2024. Dit weerspiegelt de aanhoudende verschuiving van aanvallers naar dubbele afpersing, die zowel de versleuteling van gegevens combineert met de exfiltratie en het lekken van informatie.
Actieve Ransomwaregroepen
In de eerste zes maanden van 2024 heeft Rapid7 21 nieuwe ransomwaregroepen waargenomen. Een opvallend geval is de groep RansomHub, die zich snel heeft gevestigd als een prominente afpersersgroep door 181 postings op hun lekwebsite te maken tussen februari en juni van 2024.
Het onderzoek onthulde ook dat vooral kleine en middelgrote bedrijven de meest voorkomende doelwitten zijn, vooral die met een jaarlijkse omzet van ongeveer $5 miljoen, omdat zij groot genoeg zijn om waardevolle gegevens te hebben maar niet zo goed beschermd als de grote bedrijven.
Trends in Encryptiealgoritmes
Cybercriminelen blijven bepaalde encryptiealgoritmes verkiezen vanwege hun efficiëntie en vermogen om veiligheidsmaatregelen te ontwijken. De drie meest voorkomende algoritmes zijn AES (Advanced Encryption Standard), ChaCha en RC4. AES wordt algemeen erkend vanwege zijn veiligheid en efficiëntie, terwijl ChaCha gewaardeerd wordt om zijn hoge prestaties in software, vooral op platforms zonder gespecialiseerde cryptografische hardware. RC4, hoewel als onveilig beschouwd, wordt nog steeds gebruikt in minder geavanceerde omgevingen vanwege de eenvoud en snelheid.
Initiële Toegang en Brokers
Initiële toegang blijft een kritiek onderdeel van de aanvalsketen van ransomware. Toegangsbemiddelaars spelen een essentiële rol door inloggegevens en toegang tot bedrijfsnetwerken te verkopen op ondergrondse fora. Remote Desktop Protocol (RDP) en VPN zijn de meest voorkomende toegangsmethoden, wat de noodzaak benadrukt om deze toegangspunten te beveiligen met robuuste veiligheidsmaatregelen.
Implicaties voor de Veiligheid
Het rapport onderstreept de noodzaak voor organisaties om hun cyberverdediging te versterken. Het implementeren van meerfactorauthenticatie (MFA), strikte toepassing van beveiligingspatches en proactief beheer van het aanvalsoppervlak zijn essentieel om het risico op initieel toegangsmogelijkheden en de daaropvolgende uitrol van ransomware te verminderen.
Rapid7 blijft onderzoek doen naar en ontwikkelen van technologieën voor ransomwarepreventie om zijn klanten te beschermen tegen de meest recente bedreigingen. Naarmate de dreiging van ransomware evolueert, moeten ook de strategieën voor cyberverdediging evolueren, waarbij voortdurende waakzaamheid en aanpassing vereist zijn.
Conclusie
Ransomware in 2024 heeft zich bewezen als een aanhoudende en evoluerende bedreiging, met een toename van het aantal aanvallen en een grotere verfijning in de gebruikte tactieken. Organisaties moeten een proactieve en adaptieve defensieve houding behouden om zichzelf te beschermen tegen deze groeiende bedreiging.