Ransomware maakt in Nederland de meeste slachtoffers in de maakindustrie

Dit blijkt uit cijfers van Palo Alto Networks. In 2023 signaleerde Unit 42 3,998 berichten van ransomware leak sites, vergeleken met 2,679 in 2022. Dit is een toename van circa 49%. Deze stijging kan worden verklaard door ‘high-profile kwetsbaarheden, zoals SQL injectie voor MOVEit en GoAnywhere MFT-diensten. ‘Zero-day’ aanvallen voor deze kwetsbaarheden zorgden voor een piek aan ransomware-infecties door groepen als CLOP, LockBit en ALPHV (BlackCat), nog voordat verdedigers de kwetsbare software konden updaten.

Nieuwe ransomwaregroepen actief

Data van Leak sites toont aan dat er in 2023 tenminste 25 nieuwe ransomwaregroepen zijn ontstaan. Dit wijst op de aanhoudende aantrekkelijkheid van ransomware als winstgevende criminele activiteit, voornamelijk als gevolg van de hoge betalingen door slachtoffers in de afgelopen jaren. Ondanks de opkomst van nieuwe groepen als Darkrace, Cryptnet en U-Bomb, hielden veel van deze nieuwe ransomware threat actors het echter niet vol en verdwenen ze in de tweede helft van 2023.

In 2023 zijn bovendien diverse prominente ransomwaregroepen verdwenen. Redenen voor hun ondergang zijn onder meer overmatige exposure en agressieve tactieken, die de aandacht trokken van wetshandhavingsinstanties en cybersecurity organisaties. Deze ransomwaregroepen stonden in de spotlight, wat zorgde voor extra druk en operationele uitdagingen. De toegenomen gezamenlijke inspanningen van wetshandhavingsinstanties hebben geleid tot grote successen in het verstoren van ransomware-operaties, waarbij enkele opmerkelijke groepen hun activiteiten in 2023 lijken te hebben stopgezet:

• Hive, een van de meest productieve groepen in 2022, werd in 2023 stilgelegd. Deze operatie heeft de ontcijferingssleutels van de groep in handen gekregend en wereldwijd aan slachtoffers aangeboden, waardoor slachtoffers meer dan $130 miljoen aan mogelijke losgeldbetalingen bespaard bleven.
• Ragnar Locker, oorspronkelijk gestart in 2019, was sindsdien zeer actief. In oktober 2023 meldde Europol een gecoördineerde internationale rechtshandhavingsactie die de Ragnar Locker-infrastructuur in beslag nam. De hoofddader werd vervolgens voorgeleid aan de Parijse rechtbank.
• Ransomed.Vc begon zijn activiteiten in augustus 2023 en trok de aandacht door de verantwoordelijkheid op zich te nemen voor een compromittering bij Sony in september. Deze groep staakte zijn activiteiten en bood zijn beschikbare infrastructuur aan voor veiling tegen eind oktober, waardoor het succes van korte duur was.
• Trigona werd voor het eerst gespot in 2022 en werd niet door rechtshandhavingsacties, maar door een hacktivistische groep die zichzelf de Oekraïense Cyber Alliance noemt, uitgeschakeld. Ze maakten gebruik van een kritieke kwetsbaarheid in Confluence en gebruikten een ‘zero-day’ aanval om toegang te krijgen tot de infrastructuur van Trigona. De hacktivistische groep wiste alle gegevens van Trigona, een actie die uiteindelijk leidde tot het einde van de ransomwaregroep.

Alle resultaten zijn verzameld in het Ransomware Retrospective rapport.