Ransomware is een belangrijke bedreigingsvector die bedrijven, bedrijven en infrastructuurbeheerders jaarlijks miljarden dollars kost. Achter deze bedreigingen gaan professionele ransomwarebendes schuil die malware creëren en verspreiden die de aanvallen mogelijk maken.
Sommige van deze groepen vallen slachtoffers rechtstreeks aan, terwijl andere het populaire Ransomware-as-a-Service (RaaS)-model gebruiken waarmee aangesloten organisaties specifieke organisaties kunnen afpersen.
Nu de ransomware-dreiging voortdurend toeneemt, is het kennen van de vijand en hoe deze te werk gaat de enige manier om voorop te blijven lopen. Dus, hier is een lijst van de vijf meest dodelijke ransomware-groepen die het cyberbeveiligingslandschap verstoren.
1. REvil
De REvil ransomware-groep, ook bekend als Sodinokibi, is een in Rusland gevestigde ransomware-as-a-service (RaaS) operatie die voor het eerst verscheen in april 2019. Het wordt beschouwd als een van de meest meedogenloze ransomware-groepen met links naar het Russische Federale Service Agentschap (FSB).
De groep trok al snel de aandacht van cyberbeveiligingsprofessionals vanwege zijn technische bekwaamheid en het lef om achter spraakmakende doelen aan te gaan. 2021 was het meest winstgevende jaar voor de groep omdat het zich richtte op meerdere multinationale ondernemingen en verschillende industrieën ontwrichtte.
grote slachtoffers
In maart 2021, REvil viel het elektronica- en hardwarebedrijf Acer aan en zijn servers gecompromitteerd. De aanvallers eisten $ 50 miljoen voor een decoderingssleutel en dreigden het losgeld te verhogen tot $ 100 miljoen als het bedrijf niet aan de eisen van de groep zou voldoen.
Een maand later voerde de groep opnieuw een spraakmakende aanval uit op de Apple-leverancier Quanta Computers. Het probeerde zowel Quanta als Apple te chanteren, maar geen van beide bedrijven betaalde het gevraagde losgeld van $ 50 miljoen.
De REvil-ransomwaregroep ging door met hacken en richtte zich op JBS Foods, Invenergy, Kaseya en verschillende andere bedrijven. JBS Foods werd gedwongen zijn activiteiten tijdelijk stop te zetten en betaalde naar schatting $ 11 miljoen losgeld in Bitcoin om de activiteiten te hervatten.
De Kaseya-aanval bracht wat ongewenste aandacht op de groep, aangezien het meer dan 1.500 bedrijven wereldwijd rechtstreeks trof. Na enige diplomatieke druk hebben de Russische autoriteiten in januari 2022 verschillende groepsleden gearresteerd en activa ter waarde van miljoenen dollars in beslag genomen. Maar deze verstoring was van korte duur omdat de... REvil ransomware bende is weer up and running sinds april 2022.
2. continu
Conti is een andere beruchte ransomwarebende die de krantenkoppen haalt sinds eind 2018. Het gebruikt de dubbele afpersingsmethode, wat betekent dat de groep de decoderingssleutel achterhoudt en dreigt gevoelige gegevens te lekken als het losgeld niet wordt betaald. Het heeft zelfs een lekwebsite, Conti News, om de gestolen gegevens te publiceren.
Wat Conti anders maakt dan andere ransomware-groepen, is het ontbreken van ethische beperkingen op zijn doelen. Het voerde verschillende aanvallen uit in het onderwijs en de gezondheidszorg en eiste miljoenen dollars losgeld.
grote slachtoffers
De Conti ransomware-groep heeft een lange geschiedenis van het richten op kritieke openbare infrastructuren zoals gezondheidszorg, energie, IT en landbouw. In december 2021 meldde de groep dat het de centrale bank van Indonesië had gecompromitteerd en gevoelige gegevens ter waarde van 13,88 GB had gestolen.
In februari 2022 viel Conti een internationale terminaloperator aan, SEA-invest. Het bedrijf exploiteert 24 zeehavens in Europa en Afrika en is gespecialiseerd in de behandeling van droge bulk, fruit en voedsel, natte bulk (olie en gas) en containers. De aanval trof alle 24 poorten en veroorzaakte aanzienlijke verstoringen.
Conti had in april ook de Broward County Public Schools gecompromitteerd en eiste $ 40 miljoen losgeld. De groep lekte gestolen documenten op haar blog nadat het district weigerde het losgeld te betalen.
Meer recentelijk moest de Costa Ricaanse president de nationale noodtoestand afkondigen na aanvallen van Conti op verschillende overheidsinstanties.
3. Duistere kant
De DarkSide ransomware-groep volgt het RaaS-model en richt zich op grote bedrijven om grote hoeveelheden geld af te persen. Het doet dit door toegang te krijgen tot het netwerk van een bedrijf, meestal via phishing of brute force, en versleutelt alle bestanden op het netwerk.
Er zijn verschillende theorieën over de oorsprong van de DarkSide ransomware-groep. Sommige analisten denken dat het in Oost-Europa is gevestigd, ergens in Oekraïne of Rusland. Anderen geloven dat de groep franchises heeft in meerdere landen, waaronder Iran en Polen.
grote slachtoffers
De DarkSide-groep eist enorme losgeld, maar beweert een gedragscode te hebben. De groep beweert dat het zich nooit richt op scholen, ziekenhuizen, overheidsinstellingen en andere infrastructuur die het publiek raakt.
In mei 2021 voerde DarkSide echter de Koloniale pijpleiding aanval en eiste $ 5 miljoen losgeld. Het was de grootste cyberaanval op olie-infrastructuur in de geschiedenis van de VS en verstoorde de aanvoer van benzine en vliegtuigbrandstof in 17 staten.
Het incident leidde tot gesprekken over de beveiliging van kritieke infrastructuur en hoe overheden en bedrijven deze beter moeten beschermen.
Na de aanval probeerde de DarkSide-groep haar naam te zuiveren door externe filialen de schuld te geven van de aanval. Echter, volgens De Washington Post, besloot de groep zijn activiteiten stop te zetten na toenemende druk van de Verenigde Staten.
4. DoppelPaymer
De DoppelPaymer ransomware is een opvolger van de BitPaymer ransomware die voor het eerst verscheen in april 2019. Het gebruikt de ongebruikelijke methode om slachtoffers te bellen en losgeld in bitcoins te eisen.
DoppelPaymer beweert te zijn gevestigd in Noord-Korea en volgt het ransomwaremodel met dubbele afpersing. De activiteit van de groep nam weken na de aanval op de koloniale pijpleiding af, maar analisten denken dat de groep zichzelf omgedoopt heeft tot de Grief-groep.
grote slachtoffers
DopplePaymer richt zich regelmatig op oliemaatschappijen, autofabrikanten en kritieke industrieën zoals gezondheidszorg, onderwijs en hulpdiensten. Het is de eerste ransomware die de dood van een patiënt in Duitsland veroorzaakte nadat de hulpdiensten niet konden communiceren met het ziekenhuis.
De groep haalde de krantenkoppen toen het kiezersinformatie uit Hall County, Georgia publiceerde. Vorig jaar heeft het ook de klantgerichte systemen van Kia Motors America in gevaar gebracht en gevoelige gegevens gestolen. De groep eiste toen 404 bitcoins losgeld, ongeveer gelijk aan $ 20 miljoen.
5. LockBit
LockBit is de laatste tijd een van de meest prominente ransomwarebendes, dankzij de achteruitgang van andere groepen. Sinds de eerste verschijning in 2019 heeft LockBit een ongekende groei doorgemaakt en zijn tactieken aanzienlijk geëvolueerd.
LockBit begon aanvankelijk als een onopvallende bende, maar won aan populariteit met de lancering van LockBit 2.0 eind 2021. De groep volgt het RaaS-model en gebruikt de dubbele afpersingstactiek om slachtoffers te chanteren.
grote slachtoffers
LockBit is momenteel een impactvolle ransomware-groep, goed voor meer dan 40 procent van alle ransomware-aanvallen in mei 2022. Het valt organisaties in de VS, China, India en Europa aan.
Eerder dit jaar richtte LockBit zich op Thales Group, een Franse elektronica-multinational, en dreigde gevoelige gegevens te lekken als het bedrijf niet zou voldoen aan de losgeldeisen van de groep.
Het bracht ook het Franse ministerie van Justitie in gevaar en versleutelde hun bestanden. De groep beweert nu inbreuk te hebben gemaakt op de Italiaanse belastingdienst (L'Agenzia delle Entrate) en 100 GB aan gegevens gestolen.
Bescherming tegen ransomware-aanvallen
Ransomware blijft een bloeiende zwarte marktindustrie en genereert jaarlijks miljarden dollars aan inkomsten voor deze beruchte bendes. Gezien de financiële voordelen en de toenemende beschikbaarheid van het RaaS-model, zullen de dreigingen alleen maar toenemen.
Zoals bij elke malware, zijn waakzaamheid en het gebruik van geschikte beveiligingssoftware stappen in de goede richting om ransomware te bestrijden. Als je nog niet klaar bent om te investeren in een premium beveiligingstool, kun je de ingebouwde ransomware-beveiligingstools van Windows gebruiken om je pc veilig te houden.
