{"id":26942,"date":"2021-04-21T16:51:37","date_gmt":"2021-04-21T14:51:37","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26942"},"modified":"2022-05-05T14:00:54","modified_gmt":"2022-05-05T12:00:54","slug":"top5-ransomware-groups","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/top5-ransomware-groups\/26942\/","title":{"rendered":"De jacht op ondernemingen: top 5 ransomware-groepen"},"content":{"rendered":"

De afgelopen vijf jaar heeft ransomware zich ontwikkeld<\/a> van een dreiging voor individuele computers tot een serieus gevaar voor netwerken van bedrijfsnetwerken. Cybercriminelen zijn gestopt met het simpelweg proberen infecteren van zo veel mogelijk computers en richten zich nu juist op grotere slachtoffers. Aanvallen op commerci\u00eble organisaties en overheidsinstellingen vereisen zorgvuldige planning en kunnen in potentie leiden tot opbrengsten die oplopen tot tientallen miljoenen euro\u2019s.<\/p>\n

Ransomware-bendes benutten de financi\u00eble macht van bedrijven, die vaak veel groter is dan die van gewone gebruikers. Bovendien stelen moderne ransomware-groepen de gegevens voordat ze die versleutelen, waardoor er ook nog eens sprake is van de dreiging van publicatie van diezelfde gegevens als extra pressiemiddel. Voor het getroffen bedrijf zorgt dit voor allerlei extra risico\u2019s, van reputatieschade tot problemen met belanghebbenden en boetes van regulerende instanties, die vaak nog hoger uitvallen dan het ge\u00ebiste losgeld.<\/p>\n

Volgens onze gegevens was 2016 een breukjaar. In slechts een paar maanden werd het aantal ransomeware-aanvallen op organisaties verdrievoudigd<\/a>: terwijl er in januari 2016 nog sprake was van gemiddeld \u00e9\u00e9n incident per 2 minuten, was dit tijdsbestek eind september ingekort tot 40 seconden.<\/p>\n

Sinds 2019 hebben experts regelmatig gerichte campagnes gezien van een reeks zogenoemde big-game-hunting ransomware. De bedieners van de malware bezitten sites die aanvalsstatistieken laten zien. Wij hebben die gegevens gebruikt om een ranking samen te stelling van de actiefste groepen cybercriminelen.<\/p>\n

<\/strong><\/p>\n

1. Maze (ook wel ChaCha-ransomware)<\/h2>\n

Maze-ransomware werd in 2019 voor het eerst gespot<\/a> en steeg al snel naar de top van zijn malware-klasse. Deze ransomware was verantwoordelijk voor meer dan een derde van het totale aantal aanvallen op slachtoffers. De groep achter Maze was een van de eerste om gegevens te stelen<\/a> voordat ze overgingen op versleuteling. Als het slachtoffer weigerde het losgeld te betalen, dreigden de cybercriminelen om de gestolen bestanden openbaar te maken. Deze techniek bleek effectief te zijn en werd later overgenomen door tal van andere ransomware-operaties, inclusief REvil en DoppelPaymer, die we hieronder bespreken.<\/p>\n

Een andere innovatie was dat cybercriminelen begonnen met het rapporteren van hun aanvallen aan de media. Eind 2019 vertelde de Maze-groep Bleeping Computer over hun hack van het bedrijf Allied Universal<\/a>, waar ze een aantal van de gestolen bestanden bijvoegden als bewijs. In de e-mailcorrespondentie met de redacteurs van de website dreigde de groep om spam vanaf de servers van Allied Universal te versturen, en later publiceerden ze de vertrouwelijke gegevens van het gehackte bedrijf op het Bleeping Computer-forum.<\/p>\n

De Maze-aanvallen gingen door tot september 2020, toen de groep zijn operaties wat begon af te bouwen<\/a>, maar niet voordat er verschillende internationale ondernemingen, waaronder een staatsbank in Latijns-Amerika en een informatiesysteem van een Amerikaanse stad al slachtoffer waren geworden van hun activiteiten. In elk van die gevallen eiste de Maze-groep meerdere miljoenen dollars van de slachtoffers.<\/p>\n

2. Conti (ook wel IOCP-ransomware)<\/h2>\n

Conti verscheen eind 2019 en was in heel 2020 erg actief, en zorgde voor 13% van alle ransomware-slachtoffers gedurende deze periode. De makers ervan zijn nog altijd actief.<\/p>\n

Een interessant detail van de Conti-aanvallen is dat de cybercriminelen het doelbedrijf aanbieden om ze met hun beveiliging te helpen in ruil voor het betalen van losgeld, waarbij ze zeggen<\/a> \u201cJullie krijgen instructies over hoe jullie het gat in de beveiliging kunnen dichten en dit soort incidenten in de toekomst kunt voorkomen, en we raden speciale software aan die de meeste problemen veroorzaakt voor hackers.\u201d<\/p>\n

Net als bij Maze versleutelt de ransomware niet alleen de bestanden, maar wordt er ook een kopie van de gehackte systemen naar de ransomware-operators verzonden. De cybercriminelen dreigden vervolgens om de informatie online te publiceren als de slachtoffers niet aan hun eisen voldeden. Een van de meest spraakmakende Conti-aanvallen was de hack van een school in de Verenigde Staten<\/a>, gevolgd door een losgeldeis van $ 40 miljoen. (Het bestuur zei dat ze bereid waren geweest om $ 500.000 te betalen, maar niet tachtig keer zo veel.)<\/p>\n

<\/strong><\/p>\n

3. REvil (ook wel Sodin, Sodinokibi-ransomware)<\/h2>\n

De eerste aanvallen van REvil-ransomware werden begin 2019 in Azi\u00eb gedetecteerd. De malware trok al snel een hoop aandacht<\/a> van experts vanwege de technische bekwaamheid, met onder andere het gebruik van legitieme CPU-functies om beveiligingssystemen te omzeilen. Daarnaast bevatte de code de kenmerkende tekenen dat hij was gecre\u00eberd om geleased te worden.<\/p>\n

REvil-slachtoffers maken 11% van de totale statistieken uit. De malware trof bijna 20 bedrijfssectoren. Het grootste gedeelte van de slachtoffers zat in de hoek van engineering en productie (30%), gevolgd door financi\u00ebn (14%), professionele en consumentendiensten (9%), juridisch (7%), en IT en telecommunicatie (7%). De laatste categorie was verantwoordelijk voor een van de meest spraakmakende ransomware-aanvallen van 2019, toen cybercriminelen verschillende MSP\u2019s hackten<\/a> en Sodinokibi onder hun klanten verspreidden.<\/p>\n

De groep bezit momenteel het record voor de hoogste bekende losgeldeis<\/a>: $ 50 miljoen van Acer in maart 2021.<\/p>\n

4. Netwalker (ook wel Mailto-ransomware)<\/h2>\n

Netwalker is verantwoordelijk voor meer dan 10% van het totale aantal slachtoffers. Onder hun doelwitten vinden we logistieke giganten, industri\u00eble consortia, energiebedrijven en andere grote organisaties. In slechts een paar maanden tijd in 2020 vergaarden de cybercriminelen meer dan $ 25 miljoen<\/a>.<\/p>\n

De makers lijken vastberaden om ransomware naar de massa te brengen<\/a>. Ze boden scammers aan om Netwalker te leasen in ruil voor een deel van de opbrengsten. Volgens Bleeping Computer zou het aandeel van de malware-distributeur kunnen oplopen tot 70%<\/a> van het totale losgeldbedrag, maar dit soort regelingen betaalt hun partners over het algemeen veel minder uit.<\/p>\n

Als bewijs van hun opzet publiceerden de cybercriminelen screenshots van grote geldoverschrijvingen. Om het leasing-proces zo makkelijk mogelijk te maken, zetten ze een website op om automatisch de gestolen gegevens te publiceren zodra de deadline voor het betalen van losgeld is vestreken.<\/p>\n

In januari 2021 confisqueerde<\/a> de politie dark web-middelen van Netwalker en werd de Canadees burger Sebastien Vachon-Desjardins beschuldigd van het verkrijgen van meer dan $ 27,6 miljoen door middel van afpersing. Vachon-Desjardins was verantwoordelijk voor het vinden van slachtoffers, het benutten van lekken en het loslaten van Netwalker op systemen. Deze politieactie heeft Netwalker waarschijnlijk effectief om zeep geholpen.<\/p>\n

5. DoppelPaymer-ransomware<\/h2>\n

De laatste groep criminelen is DoppelPaymer, ransomware die voor ongeveer 9% van de slachtoffers zorgde in de totale statistieken. De makers hebben ook hun sporen achtergelaten met andere malware, waaronder de bank trojan Dridex en de inmiddels ter ziele gegane ransomware BitPaymer (ook wel FriedEx), die wordt beschouwd als een eerdere versie van DopplePaymer<\/a>. Dus het totale aantal slachtoffers van deze groep ligt eigenlijk veel hoger.<\/p>\n

Onder de commerci\u00eble organisaties die werden getroffen<\/a> door DoppelPaymer vinden we fabrikanten van elektronica en auto\u2019s, evenals een grote Latijns-Amerikaanse oliemaatschappij. DoppelPaymer richt zich vaak op overheidsinstellingen over de hele wereld<\/a>, met daaronder diensten op het gebied van zorg, noodgevallen en onderwijs. De groep kwam ook in het nieuws na het publiceren van informatie van stemmers<\/a> die gestolen was van Hall County, Georgia, en het ontvangen<\/a> van $ 500.000 van Delaware County, Pennsylvania, beide in de Verenigde Staten. DoppelPaymer voert tot op de dag van vandaag aanvallen uit: in februari van dit jaar meldde<\/a> een Europees onderzoeksinstituut dat ze waren gehackt.<\/p>\n

<\/strong><\/p>\n

Gerichte aanvalsmethodes<\/h2>\n

Elke gerichte aanval op een groot bedrijf is het resultaat van een lang proces waarin wordt gezocht naar kwetsbaarheden in de infrastructuur, een scenario wordt ontworpen en de juiste tools worden geselecteerd. Vervolgens vindt de penetratie plaats en wordt de malware over de bedrijfsinfrastructuur verspreid. Cybercriminelen blijven soms meerdere maanden in een bedrijfsnetwerk zitten voordat ze bestanden daadwerkelijk versleutelen en losgeld eisen.<\/p>\n

De belangrijkste toegangspaden tot de infrastructuur zijn de volgende:<\/p>\n