Overslaan naar hoofdinhoud

Ransomwareaanvallen zijn big business. Vóór het einde van 2021 zal elk bedrijf naar schatting om de 11 seconden het doelwit worden van een ransomwareaanval. De totale schade kan daarbij oplopen tot wel $ 20 miljard. Ransomwareaanvallen vormen niet alleen een bedreiging voor organisaties, zoals bedrijven, overheden en zorgaanbieders, maar ook klanten en medewerkers worden getroffen. Hun gegevens staan namelijk vaak op het spel bij dit soort aanvallen.

Ransomwareaanvallen zijn aanvallen waarbij met behulp van malware gegevens en bestanden van doelwitten worden versleuteld. Ze werken anders dan afpersingscampagnes, waarbij Distributed Denial of Service (DDoS) wordt gebruikt om doelwitten te overstelpen met grote hoeveelheden gegevens met de belofte dat de aanval in ruil voor betaling wordt stopgezet.

Hoewel sommige organisaties ervoor kiezen om te betalen, wordt dit over het algemeen afgeraden. Er is namelijk geen garantie dat toegang tot de geïnfecteerde systemen wordt hersteld en bovendien worden dit soort cyberaanvallen hierdoor alleen maar verder aangemoedigd. Veel bedrijven houden ransomwareaanvallen geheim. In gevallen waarin ze deze wel bekendmaken, onthullen ze niet wat de eisen van de aanvallers zijn.

Hieronder geven we een overzicht van enkele ransomwareaanvallen die plaatsvonden in 2020, van januari tot december.

Ransomwareaanvallen in januari 2020

1. Ransomwareaanval Travelex

Hackers begonnen dit jaar met een aanval op geldwisselkantoor Travelex, waardoor het bedrijf alle computersystemen moest afsluiten en werd gedwongen om met pen en papier te werken. Als gevolg hiervan moest het bedrijf in dertig landen zijn websites offline halen.

De ransomwarebende Sodinokibi (ook bekend onder de naam REvil) zat achter de aanval en eiste een geldbedrag van $ 6 miljoen van Travelex. De bende beweerde zes maanden eerder te zijn binnengedrongen in het computernetwerk van het bedrijf en vervolgens 5 GB aan gevoelige klantgegevens te hebben gedownload, waaronder geboortedata en creditcardnummers. De bende gaf aan de gegevens te zullen verwijderen na betaling door Travelex. Als Travelex dit niet zou doen, zou het losgeldbedrag om de twee dagen worden verdubbeld. Na zeven dagen dreigden ze de gegevens aan andere cybercriminelen te verkopen.

Naar verluidt heeft Travelex de bende $ 2,3 miljoen in Bitcoin betaald en waren de systemen na twee weken weer online. In augustus 2020 maakte het bedrijf bekend onder bewind te zijn gesteld. Dit zou zijn veroorzaakt door een combinatie van de ransomwareaanval en de impact van de coronapandemie.

Andere opmerkelijke aanvallen in deze maand:

  • Scholieren van de Pittsburgh Unified School District in de Amerikaanse staat Pennsylvania moesten het stellen zonder internettoegang nadat een ransomwareaanval tijdens de feestdagen de netwerksystemen van het scholendistrict had platgelegd.
  • Patiënten van een medische praktijk in Miramar, Florida, ontvingen losgeldberichten van een cybercrimineel die dreigde hun medische dossiers openbaar te maken.

Ransomwareaanvallen in februari 2020

2. Ransomwareaanval INA Group

Op Valentijnsdag legde een cyberaanval enkele bedrijfsactiviteiten van INA Group, de grootste oliemaatschappij en tankstationketen van Kroatië. De aanval bestond uit een ransomeware-infectie die enkele back-endservers van het bedrijf had geïnfecteerd en vervolgens had versleuteld.

Hoewel de aanval geen nadelige gevolgen had voor de levering van brandstof aan klanten, leverde deze wel problemen op bij het verstrekken van facturen, het verwerken van loyaltycardgebruik, het afgeven van nieuwe mobiele vouchers en het afhandelen van bepaalde betalingen door klanten.

De aanval werd naar verluidt veroorzaakt door een infectie met de ransomwarevariant Clop. Beveiligingsonderzoekers beschouwen de Clop-bende als 'big game ransomware', d.w.z. criminele bendes die zich richten op bedrijven om hun netwerken te infecteren, gegevens te versleutelen en zeer grote sommen losgeld te eisen.

Andere opmerkelijke aanvallen in deze maand:

  • NRC Health, een dienstverlener in de gezondheidszorg die met 75% van de 200 grootste ziekenhuizen in de VS samenwerkt, werd getroffen door een aanval. Om de schade van het datalek te beperken, stelde het bedrijf al zijn systemen buiten werking, waaronder klantenportals. Gegevens die door het bedrijf worden opgeslagen omvatten salarisgegevens van werknemers en informatie over vergoedingen van programma's als Medicare.

Ransomwareaanvallen in maart 2020

3. Ransomwareaanval Communications & Power Industries

In maart werd bekend dat Communications & Power Industries (CPI), een grote elektronicaproducent uit Californië, was getroffen door een ransomwareaanval.

Het bedrijf maakt onderdelen voor militaire apparaten en levert onder andere aan de US Department of Defense. De aanval werd in gang gezet toen een domeinbeheerder van het bedrijf op een kwaadaardige koppeling klikte, waardoor malware werd geactiveerd en bestanden werden versleuteld. Omdat duizenden computers op het netwerk waren aangesloten op hetzelfde, niet-gesegmenteerde domein, verspreidde de ransomware zich naar elk CPI-kantoor en de lokale back-ups.

Naar verluidt betaalde het bedrijf de cybercriminelen $ 500.000 aan losgeld. Het is niet bekend om welk type ransomware het ging.

Andere opmerkelijke aanvallen in deze maand:

  • In het VK was het in Londen gevestigde Hammersmith Medical Centre doelwit van de ransomwaregroep Maze. Het Medical Centre voert vroegtijdig klinisch onderzoek uit met geneesmiddelen en vaccins. De aanval vond plaats enkele dagen nadat de Maze-groep had beloofd om gedurende de coronapandemie geen medische onderzoeksinstituten te zullen aanvallen. Nadat het Medical Centre had geweigerd om losgeld te betalen, maakte de groep persoonsgegevens van duizenden oud-patiënten openbaar. De directeur van het Medical Centre, Malcolm Boyce, vertelde de media dat hij nog liever zijn deuren zou sluiten dan losgeld ging betalen.

top_ransomware_attacks_2.jpg

Ransomwareaanvallen in april 2020

4. Ransomwareaanval Energias de Portugal

In april werd bekendgemaakt dat de Portugese energiereus Energias de Portugal (EDP) ten prooi was gevallen aan een aanval. Cybercriminelen slaagden erin om met Ragnar Locker-ransomware de systemen van het bedrijf te versleutelen en eisten een losgeldbedrag van bijna $ 10 miljoen.

De aanvallers beweerden meer dan 10 TB aan gevoelige bedrijfsgegevens te hebben gestolen en dreigden deze te lekken tenzij het losgeld werd betaald. De hackers plaatsten schermafbeeldingen van een deel van de gevoelige gegevens op een leksite, waarmee ze wilden bewijzen dat ze de gegevens in hun bezit hadden. De gegevens zouden vertrouwelijke informatie over facturering, contracten, transacties, klanten en partners omvatten.

EDP bevestigde dat er een aanval had plaatsgevonden, maar zei dat er geen bewijs was dat er gevoelige klantgegevens waren gestolen. Aangezien in de toekomst mogelijk zou blijken dat dit toch was gebeurd, besloot het bedrijf echter om zijn klanten een jaar lang gratis identiteitsbescherming van Experian te bieden.

Andere opmerkelijke aanvallen in deze maand:

  • Cognizant, een Fortune 500-bedrijf dat IT-diensten levert aan bedrijven in uiteenlopende sectoren, maakte bekend dat het doelwit was geworden van een ransomwareaanval. De aanval trof hun interne systemen en had tot gevolg dat hun interne directory werd gewist, waardoor de dienstverlening aan klanten werd ontwricht. In hun resultatenrapport over het tweede kwartaal van 2020 van eind juli schreef Cognizant dat de opbrengsten binnen alle bedrijfssegmenten met 3,4% waren gedaald naar $ 4 miljard. Dit kwam deels door de ransomwareaanval in april.

Ransomwareaanvallen in mei 2020

5. Ransomwareaanval Grubman Shire Meiselas & Sacks

In mei werd Grubman Shire Meiselas & Sacks, een advocatenkantoor in New York dat beroemdheden als Madonna, Elton John en Robert DeNiro tot zijn klanten mag rekenen, slachtoffer van REvil-ransomware.

Cyberaanvallers beweerden REvil- of Sodinokobi-ransomware te hebben ingezet om persoonlijke gegevens te stelen, waaronder klantencontracten, telefoonnummers, e-mailadressen, persoonlijke correspondentie en geheimhoudingsovereenkomsten. De aanvallers dreigden de gegevens verspreid over negen momenten openbaar te maken, tenzij er telkens op tijd een losgeldbedrag zou worden betaald, dat in totaal kon oplopen tot $ 21 miljoen. Wanneer het advocatenkantoor weigerde te betalen, zou het bedrag worden verdubbeld naar $ 42 miljoen.

Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey en Mary J. Blige zijn enkele van de beroemdheden die naar verluidt zijn getroffen door de aanval. Het advocatenkantoor gaf aan niet te zullen onderhandelen met de aanvallers en schakelde de FBI in om de zaak te onderzoeken.

Andere opmerkelijke aanvallen in deze maand:

  • Michigan State University werd getroffen door een aanval met NetWalker-ransomware. NetWalker, ook bekend onder de naam Mailto, is een ransomwarevariant die zijn criminele debuut maakte in augustus 2019. De ransomwareoperators gaven de universiteit te kennen dat deze één week had om het losgeldbedrag te betalen in ruil voor toegang tot de versleutelde bestanden. Als de universiteit dit niet zou doen, dan zouden de aanvallers de persoonlijke en bankgegevens van MSU-studenten lekken. Op advies van de wetshandhaver besloot de universiteit het losgeld niet te betalen.

Ransomwareaanvallen in juni 2020

6. Ransomwareaanval Honda

In juni werd autogigant Honda getroffen door een aanval met Snake-ransomware (ook bekend onder de naam Ekans), waarbij kantoren in de VS, Europa en Japan het doelwit waren. Meteen nadat de aanval werd ontdekt, onderbrak Honda op enkele locaties de productie om een oplossing te zoeken voor het ontwrichte computernetwerk. Hackers hadden ransomware gebruikt om zich toegang te verschaffen tot een interne server van Honda en deze te versleutelen. In ruil voor losgeld zouden ze de versleutelingssleutel overdragen. Later meldde Honda dat de aanvallers niet hebben aangetoond dat ze persoonlijk identificeerbare gegevens hadden gestolen.

Andere opmerkelijke aanvallen in deze maand:

  • Columbia College Chicago was het doelwit van de ransomwarebende NetWalker. De bende dreigde studentengegevens te verkopen op het darkweb tenzij het losgeld binnen zes dagen was betaald. Het College erkende dat tijdens de aanval persoonlijke gegevens van enkele gebruikers is buitgemaakt, maar het is niet bekend of er losgeld is betaald of dat er is onderhandeld met de aanvallers.

Ransomwareaanvallen in juli 2020

7. Ransomwareaanval Orange

In juli werd Orange, het Franse telecombedrijf en de op drie na grootste mobiele operator in Europa, slachtoffer van Nefilim-ransomware. De inbreuk vond plaats op de afdeling voor zakelijke dienstverlening, waarna Orange op 15 juli werd toegevoegd aan de Nefilim-site op het darkweb waar zakelijke lekken worden gepubliceerd. Delen van de gegevens van Orange-klanten die volgens de Nefilim-groep waren geëxfiltreerd, stonden in een archief van 339 MB.

Nefilim is een relatief nieuwe ransomwareoperator en werd in 2020 ontdekt. Volgens Orange waren de gegevens van ongeveer twintig zakelijke klanten van de afdeling voor zakelijke dienstverlening geïnfecteerd.

Andere opmerkelijke aanvallen in deze maand:

  • Het stadsbestuur van Lafayette in Colorado maakte in augustus bekend dat het $ 45.000 had betaald aan ransomewareoperators nadat hun apparaten en gegevens via ransomware waren versleuteld. Het stadsbestuur slaagde er niet in om de systemen te herstellen vanaf de back-ups en betaalde het bedrag om een ontsleutelingssleutel te ontvangen. Er werd gekozen om het losgeld te betalen, zodat de verstoring van de dienstverlening aan de inwoners kon worden beperkt. Hoewel niet werd bekendgemaakt om welk type ransomware het ging, gaf het stadsbestuur in de berichtgeving over de storing aan dat de ransomware de netwerksystemen van de stad had lamgelegd. Dit raakte alles van online betalingssystemen tot e-mail en telefoondiensten. De oorzaak van de aanval was waarschijnlijk een phishing- of potentiële brute-force-aanval.

Ransomwareaanvallen in augustus 2020

8. Ransomwareaanval University of Utah

In augustus werd bekendgemaakt dat de University of Utah $ 457.000 aan losgeld had betaald aan cybercriminelen om zo te voorkomen dat zij vertrouwelijke bestanden zouden vrijgeven die waren gestolen tijdens een ransomwareaanval. Bij de aanval werden de servers van de afdeling College of Social and Behavioral Science van de universiteit versleuteld. Tijdens de aanval gijzelden de criminelen niet-versleutelde gegevens, waarna ze overgingen tot het versleutelen van computers.

Aangezien de gegijzelde gegevens informatie over studenten en medewerkers omvatte, besloot de universiteit het losgeld te betalen om het lekken van die informatie te voorkomen. Ook adviseerde de universiteit alle studenten en medewerkers van het College om hun kredietgeschiedenis te controleren op verdachte zaken en om alle online wachtwoorden te vervangen.

Andere opmerkelijke aanvallen in deze maand:

  • R1 RCM Inc. werd getroffen door een ransomwareaanval. Het bedrijf, dat voorheen bekend stond onder de naam Accretive Health Inc., is een van de grootste medische incassobureaus van de VS. Ze hebben contracten met meer dan 750 zorgorganisaties in de VS en verwerken de persoonlijke en gezondheidsgegevens van tientallen miljoenen patiënten. R1 RCM Inc. besloot om geen details van de inbreuk bekend te maken, zoals informatie over de systemen of gegevens die mogelijk getroffen waren. Wel werd gemeld dat voor de aanval gebruik was gemaakt van Defray-ransomware; een soort gerichte ransomware die meestal via phisingmails wordt verspreid.

Ransomwareaanvallen in september 2020

9. Ransomwareaanval K-Electric

In september was K-Electric, het enige energiebedrijf van Karachi, Pakistan, naar verluidt het doelwit van een aanval met Netwalker-ransomware. Deze zorgde voor een verstoring van de facturerings- en onlinediensten.

De ransomwareoperators eisten dat K-Electric $ 3,85 miljoen aan losgeld zou betalen en waarschuwden dat dit bedrag na zeven dagen zou worden verhoogd naar $ 7,7 miljoen. Netwalker gaf een archief van 8,5 GB vrij met bestanden met daarin onder andere financiële gegevens en klantgegevens. Deze zouden zijn gestolen tijdens de aanval.

Tot eerdere slachtoffers van Netwalker behoren de immigratiedienst van Argentinië, verschillende Amerikaanse overheidsdiensten en de University of California San Francisco (die meer dan $ 1 miljoen aan losgeld betaalde).

K-Electric erkende dat er een cyberincident had plaatsgevonden, maar gaf aan dat alle belangrijke klantendiensten volledig naar behoren functioneerden.

Andere opmerkelijke aanvallen in deze maand:

  • Het vierde District Court van Louisiana kreeg te maken met een inbreuk op hun website. Na een ransomwareaanval werden gevoelige documenten online gepubliceerd. De aanstichter van de aanval was Conti, een relatief nieuwe ransomwarevariant. De documenten die de hackers publiceerden op hun darknetwebsite hadden betrekking op lopende zaken en bevatten gegevens over getuigen, juryleden en gedaagden.

Ransomwareaanvallen in oktober 2020

10. Ransomwareaanval Press Trust of India

In oktober drongen hackers de servers van het nieuwsagentschap Press Trust of India (PTI) binnen en legden de diensten urenlang lam. Een woordvoerder van het bedrijf sprak van een zeer grote ransomwareaanval, die de activiteiten en de nieuwsvoorziening aan abonnees in heel India ontwrichtte.

Het bleek te gaan om LockBit-ransomware. Deze schadelijke software is ontworpen om de toegang van gebruikers tot computersystemen te blokkeren totdat losgeld wordt betaald.

Andere opmerkelijke aanvallen in deze maand:

  • Software AG, een van 's werelds grootste softwarebedrijven, was het doelwit van een Clop-ransomwarebende, die meer dan $ 20 miljoen aan losgeld eiste. Nadat de onderhandelingen waren vastgelopen, publiceerde de bende schermafbeeldingen van bedrijfsgegevens op het darkweb. Op die schermafbeeldingen waren scans van paspoorten en id-kaarten van medewerkers, mails van medewerkers, financiële documenten en directory's van het interne netwerk te zien.

Ransomwareaanvallen in november 2020

11. Ransomwareaanval Braziliaanse Hooggerechtshof

In november was de cyberinfrastructuur van het Braziliaanse Hooggerechtshof het doelwit van een enorme ransomwareaanval, waardoor de website van het gerechtshof offline moest worden gehaald.

De ransomwareaanvallers beweerden dat de gehele database van het gerechtshof was versleuteld en dat herstelpogingen geen zin zouden hebben. In het losgeldbericht dat de hackers achterlieten, werd het gerechtshof verzocht contact met hen op te nemen via een ProtonMail-e-mailadres. De hackers hebben ook geprobeerd diverse Braziliaanse overheidswebsites aan te vallen.

Andere opmerkelijke aanvallen in deze maand:

  • Voetbalclub Manchester United kwam in het nieuws nadat bekend werd dat de club het slachtoffer was van een cyberaanval. Later bevestigde de club dat het om ransomware ging. Aangezien de club de beveiliging goed op orde had en beschikte over uitgebreide protocollen en procedures, hadden ze volgens eigen zeggen de vernuftige aanval kunnen afweren. Ze houden vol dat hun cyberverdediging de aanval had ontdekt en de getroffen systemen had afgesloten om zo de schade te beperken en de gegevens te beschermen.

Ransomwareaanvallen in december 2020

12. Ransomwareaanval GenRx Pharmacy

In december waarschuwde GenRx Pharmacy, een in Arizona gevestigde zorgorganisatie, honderdduizenden patiënten over een potentieel datalek na een ransomwareaanval eerder dat jaar. Het bedrijf gaf aan dat kwaadwillende hackers erin waren geslaagd om een aantal bestanden te verwijderen, waaronder gezondheidsgegevens die de apotheek gebruikte om voorgeschreven medicijnen voor patiënten te verwerken en te verzenden.

Andere opmerkelijke aanvallen in deze maand:

  • Witgoedreus Whirlpool was het doelwit van een ransomwareaanval door de Nefilim-bende. Hierbij werden gegevens gestolen en vervolgens werden de apparaten versleuteld. De hackers hebben de gestolen gegevens later gepubliceerd. Deze bestonden deels uit informatie over werknemers, zoals toepasselijke arbeidsvoorwaarden, verzoeken om medische informatie en achtergrondonderzoeken.

De meest recente ransomwareaanvallen gaan steeds selectiever te werk bij het kiezen van het doelwit en het bepalen van het losgeldbedrag. De Kaspersky Anti-Ransomware Tool biedt bescherming voor zowel thuis als op het werk. Zoals bij alle dreigingen op het gebied van cybersecurity vormt waakzaamheid de sleutel tot veiligheid.

Gerelateerde artikelen:

De meest opmerkelijke ransomware aanvallen

Wat waren de meest opmerkelijke ransomware aanvallen? We bespreken de meest recente ransomware aanvallen. Kom meer te weten over de risico's en hoe je jezelf kunt beschermen.
Kaspersky Logo