Zscaler, de leider in cloudbeveiliging, heeft de bevindingen van zijn jaarlijkse ThreatLabz Ransomware Report gepubliceerd, waaruit blijkt dat het aantal ransomware-aanvallen jaar-op-jaar met 80% is toegenomen. In 2022 waren de meest voorkomende ransomware-trends dubbele afpersing, supply chain-aanvallen, ransomware-as-a-service, ransomware-rebranding en geopolitieke ransomware-aanvallen.
Het rapport analyseert meer dan een jaar aan gegevens van de grootste beveiligingscloud ter wereld, die meer dan 200 miljard dagelijkse transacties en 150 miljoen dagelijks geblokkeerde aanvallen van de Zscaler Zero Trust Exchange verwerkt. Het rapport laat zien welke sectoren het meest worden aangevallen door cybercriminelen, legt de schade uit die wordt veroorzaakt door dubbele afpersing en supply chain-attacks en catalogiseert de ransomware-groepen die momenteel meest actief zijn.
“Moderne ransomware-aanvallen vereisen één succesvol gecompromitteerd asset om initiële toegang te krijgen, lateraal te verplaatsen en zo toegang te krijgen tot de hele omgeving, waardoor legacy-VPN en platte netwerken extreem kwetsbaar worden”, zegt Deepen Desai, CISO van Zscaler. “Aanvallers zijn succesvol door gebruik te maken van zwakke punten in de supply chains van bedrijven, evenals van kritieke kwetsbaarheden zoals Log4Shell, PrintNightmare en meer. Door ransomware-as-a-service, dat beschikbaar is op het darkweb, wenden steeds meer criminelen zich tot ransomware omdat ze zich realiseren dat de kans op een hoge beloning groot is.”
De tactieken en scope van ransomware-aanvallen evolueren gestaag, maar het einddoel blijft een verstoring van de desbetreffende organisatie en diefstal van gevoelige informatie, met het oog op losgeld. De hoogte van het losgeld hangt vaak af van het aantal geïnfecteerde systemen en de waarde van de gestolen data: hoe hoger de inzet, hoe hoger de betaling.
In 2019 hebben veel ransomware-groepen hun tactieken geüpdatet om data-exfiltratie op te nemen, ook wel bekend als een ‘dubbele afpersing’-ransomware. Een jaar later voegden geselecteerde groepen een nieuwe aanvalslaag toe met gedistribueerde denial-of-service (DDoS)-tactieken die de website of het netwerk van het slachtoffer bestoken, waardoor de business werd verstoord en het slachtoffer onder druk werd gezet om te onderhandelen.
De gevaarlijkste ransomware-trend van dit jaar is de supply chain-aanval, die gericht is op leveranciers en gebruik maken van bestaande verbindingen en gedeelde bestanden, netwerken of oplossingen voor tweede-fase-aanvallen op de klanten van die leverancier. ThreatLabz noteerde ook een toename van bijna 120% in het aantal slachtoffers van ransomware met dubbele afpersing op basis van data die zijn gepubliceerd op de datalek-sites.
Voor het tweede jaar op rij waren fabrikanten het meest getarget met bijna een op de vijf ransomware-aanvallen die zijn gericht op deze productiebedrijven. De aanvallen op andere sectoren nemen echter snel toe. Het groeitempo van aanvallen op zorginstellingen was bijzonder opvallend, met dubbele afpersing-aanvallen die met bijna 650% groeiden in vergelijking met 2021. Dit werd gevolgd door de restaurant- en de voedingsindustrie, die een toename van meer dan 450% in ransomware zagen.
Nu regeringen over de hele wereld ransomware serieus zijn gaan nemen, zijn veel aanvalsgroepen ontbonden en teruggekomen onder nieuwe namen. Zo is DarkSide veranderd in BlackMatter, DoppelPaymer veranderd in Grief en is Rook veranderd in Pandora. De dreiging is echter niet afgenomen, ook al is hun tactiek veranderd. In plaats daarvan bieden velen hun tools nu te koop aan op het darkweb, waardoor ze hun schaal vergroten via een ransomware-as-a-service businessmodel.
Eerder dit jaar hebben de Verenigde Staten in een verklaring gewaarschuwd voor mogelijke, kwaadwillige cyberactiviteiten tegen de Verenigde Staten als reactie op de economische sancties tegen Rusland. De verklaring drong aan op onmiddellijke actie om de cyberbeveiliging van zowel publieke als private organisaties te versterken. Andere landen die achter Oekraïne staan, hebben soortgelijke waarschuwingen gegeven. Tot op heden heeft ThreatLabz meerdere aanvallen geïdentificeerd, zoals het gebruik van PartyTicket-ransomware en de HermeticWiper-malware tegen Oekraïne en aanvallen van de Conti-dreigingsgroep tegen meerdere overheidsinstanties. ThreatLabz blijft geopolitieke aanvallen in de gaten houden.
Desai voegt toe: “Om de kans op een inbreuk en de schade die een succesvolle ransomware-aanval kan veroorzaken te minimaliseren, moeten organisaties diepgaande verdedigingsstrategieën gebruiken, waaronder het verminderen van de attack surface en het toepassen van een zero trust-architectuur die toegangscontrole met minimale privileges kan afdwingen. Daarnaast blijft het continu monitoren en inspecteren van data in alle omgevingen belangrijk.”
Hoe de Zscaler Zero Trust Exchange ransomware-aanvallen kan voorkomen
De Zscaler Zero Trust Exchange integreert controles ter voorkoming van ransomware in een holistische zero trust-architectuur die elke fase van de aanval verstoort en schade minimaliseert. De volgende best practices en geavanceerde mogelijkheden kunnen het risico op een ransomware-aanval aanzienlijk verminderen:
Inbreuken voorkomen met een consistent beveiligingsbeleid: met volledige SSL-inspectie op schaal, browser-isolatie, inline sandboxing en beleidsgestuurde toegangscontrole om toegang tot schadelijke websites te voorkomen.
Laterale beweging elimineren door applicaties van internet te verwijderen en een Zero Trust Network Access (ZTNA)-architectuur te implementeren: Door gebruikers rechtstreeks te verbinden met apps, niet met het netwerk, om de explosie radius van een aanval te beperken.
Gecompromitteerde gebruikers en dreigingen van binnenuit uitschakelen: door inline applicatie-inspectie en geïntegreerde deception-mogelijkheden te combineren om potentiële aanvallers te detecteren, te misleiden en te stoppen.
Data verlies stoppen: door software en training up-to-date te houden, evenals inline preventie van data verlies in te zetten en data, zowel in beweging als in rust, te inspecteren, wordt diefstal door threat actors voorkomen
