Belangrijkste bevindingen:
- De impact van ransomware is het sterkst voelbaar in de Verenigde Staten. Bijna de helft van alle ransomwarecampagnes in de afgelopen 12 maanden was gericht op de VS.
- Organisaties in de kunst-, entertainment- en recreatiesector zien de grootste toename van het aantal ransomware-aanvallen, met een groeipercentage van meer dan 430%.
- De productiesector blijft het grootste doelwit, goed voor bijna 15% van het totale aantal ransomware-aanvallen. Op de tweede plaats staat de dienstensector, die vorig jaar 12% van de totale hoeveelheid ransomware-aanvallen te verwerken kreeg.
- Er zijn dit jaar 25 nieuwe ransomwarefamilies geïdentificeerd die dubbele afpersing of encryptieloze afpersingsaanvallen gebruiken.
Amsterdam, 28 juni 2023 – Zscaler, leider op het gebied van cloudbeveiliging, presenteert het
2023 ThreatLabz Ransomware Report. Het rapport volgt de aanhoudende toename van complexe ransomware-aanvallen en belicht recente ransomware-trends, waaronder aanvallen op de publieke sector en organisaties met een cyberverzekering, de groei van Ransomware-as-a-Service (RaaS) en encryptieloze afpersing.
“Ransomware-as-a-Service heeft bijgedragen aan een gestage toename van geavanceerde ransomware-aanvallen”, zegt Deepen Desai, Global CISO and Head of Security Research bij Zscaler. “Ransomwarecriminelen blijven steeds vaker onder de radar door aanvallen uit te voeren zonder data te versleutelen. Hierbij worden echter wel grote hoeveelheden data geëxfiltreerd. Organisaties moeten stoppen met het gebruiken van verouderde point solutions en migreren naar een volledig geïntegreerd zero trust-platform dat hun aanvalsoppervlak minimaliseert, inbraken voorkomt, de potentiële impact verkleint en, in het geval van een succesvolle aanval, exfiltratie voorkomt.”
De evolutie van ransomware wordt gekenmerkt door de omgekeerde relatie tussen aanvalsverfijning en hoe hoog de lat ligt voor nieuwe cybercriminele groepen. Het wordt steeds makkelijker om cyberaanvallen uit te voeren, maar deze zijn wel geavanceerder geworden dankzij RaaS. RaaS is een model waarbij aanvallers hun diensten op het dark web verkopen voor 70-80% van de winst. Dit bedrijfsmodel is de afgelopen jaren steeds populairder geworden. Dit blijkt onder meer uit het aantal ransomware-aanvallen, dat het afgelopen jaar met bijna 40% is toegenomen. Een van de meest opvallende trends is de groei van encryptieloze afpersing, een aanvalsstijl die voorrang geeft aan data-exfiltratie boven encryptie.
Grootste doelwitten van ransomware-criminelen
De Verenigde Staten waren het vaakst doelwit van ransomware-aanvallen met dubbele afpersing. Maar liefst 40% van de slachtoffers bevindt zich in de VS. Canada, het Verenigd Koninkrijk en Duitsland, waren samen doelwit van iets minder dan 20% van de aanvallen. De meest voorkomende ransomwarefamilies die het ThreatLabz-team heeft gevolgd, zijn BlackBasta, BlackCat, Clop, Karakurt en Lockbit. Zij vormen allemaal een aanzienlijke dreiging voor financiële verliezen, datalekken en operationele verstoringen voor organisaties van elke omvang.
Het afgelopen jaar was de productiesector wereldwijd de meest geraakte sector. Met name intellectueel eigendom en kritieke infrastructuur maken deze sector interessant voor ransomwarecriminelen. Alle ransomwarefamilies die door Zscaler zijn gevolgd, hebben slachtoffers gemaakt in deze sector. Hieronder bevinden zich bedrijven die zich bezighouden met de productie van goederen voor sectoren als de auto-industrie, de elektronica- en de textielmarkt, om er maar een paar te noemen. Het onderzoek wijst daarnaast uit dat vooral BlackBasta geïnteresseerd is in productieorganisaties. Zij richtte zich meer dan 26% van de tijd op dit soort bedrijven.
Groeiende trends in ransomware
In 2021 observeerde ThreatLabz 19 ransomwarefamilies die dubbele of meervoudige afpersingsbenaderingen hanteerden. Dit aantal is sindsdien gegroeid tot 44 ransomwarefamilies. Dit soort aanvallen zijn populair omdat aanvallers, nadat ze de gestolen data hebben versleuteld, dreigen deze online te lekken om de druk op het slachtoffer om te betalen verder op te voeren. De toenemende populariteit van encryptieloze afpersingsaanvallen, waarbij het coderingsproces wordt overgeslagen, gebruikt dezelfde tactiek en dreigt data online te lekken als slachtoffers niet betalen. Deze tactiek resulteert in snellere en grotere winsten voor ransomwaregroepen door softwareontwikkelingscycli en decoderingsondersteuning te elimineren. Deze aanvallen zijn daarnaast moeilijker te detecteren en krijgen minder aandacht van autoriteiten omdat ze geen belangrijke bestanden en systemen vergrendelen of downtime veroorzaken. Encryptieloze afpersingsaanvallen verstoren de bedrijfsvoering van hun slachtoffers niet, wat resulteert in minder rapportage. Oorspronkelijk begonnen deze trends bij ransomwaregroepen zoals Babuk en SnapMC, maar het afgelopen jaar zien onderzoekers een aantal nieuwe families die ook deze tactiek toepassen, waaronder Karakurt, Donut, RansomHouse en BianLian.
Bescherming tegen ransomware-aanvallen met de Zscaler Zero Trust Exchange
Bescherming tegen ransomware vereist een holistische aanpak die elke fase van een dreiging aanpakt en de potentiële schade tot een minimum beperkt. De Zscaler Zero Trust Exchange biedt een allesomvattend zero trust-framework dat geavanceerde maatregelen voor bescherming tegen ransomware bevat. Door de volgende richtlijnen te volgen, kunt u het risico om slachtoffer te worden van een ransomware-aanval effectief verminderen.
- Voorkom initiële inbraak: implementeer een consistent beveiligingsbeleid. Door uitgebreide SSL-inspectiemogelijkheden, browserisolatie, inline sandboxing en beleidsgestuurde toegangscontroles te implementeren, kunt u de toegang tot kwaadaardige website sluiten, kanalen van initiële besmetting blokkeren en onbekende dreigingen detecteren voordat ze gebruikers bereiken.
- Stop gecompromitteerde gebruikers en insider threats: door inline applicatie-inspectie en Identity Threat Detection & Response (ITDR) te combineren met geïntegreerde deceptiemogelijkheden, kunt u potentiële aanvallers detecteren, misleiden en stoppen, of het nu gaat om externe dreigingen of insiders met slechte bedoelingen.
- Minimaliseer het externe aanvalsoppervlak en voorkom laterale bewegingen: voorkom dat aanvallers zich binnen het netwerk manoeuvreren door applicaties los te koppelen van het internet en een zero trust network access (ZTNA)-architectuur te omarmen. Door gebruikers rechtstreeks te verbinden met applicaties, in plaats van met het netwerk zelf, wordt het potentiële bereik van een aanval aanzienlijk beperkt.
- Voorkom dataverlies: implementeer inline maatregelen ter voorkoming van dataverlies met volledige TLS-inspectie en inspecteer data grondig om pogingen tot datadiefstal te stoppen. Blijf dreigingsactoren daarnaast een stap voor door software regelmatig bij te werken en uitgebreide beveiligingstrainingen te geven.
Door gebruik te maken van de kracht van de Zscaler Zero Trust Exchange en deze best practices toe te passen, kunnen organisaties hun gebruikers, workloads, IoT/OT-apparaten en B2B-connectiviteit proactief beschermen, zodat waardevolle data veilig zijn voor steeds evoluerende ransomware-aanvallen.
Download hier het 2023 ThreatLabz Ransomware Report voor meer informatie.
Methodologie
Voor dit onderzoek analyseerde het ThreatLabz-team data uit de Zscaler beveiligingscloud, die dagelijks meer dan 500 biljoen dagelijkse signalen bewaakt en 8 miljard dreigingen per dag blokkeert via meer dan 250.000 beveiligingsupdates die dagelijks worden uitgevoerd. ThreatLabz analyseerde een jaar aan phishingdata uit de Zscaler-cloud van april 2022 tot april 2023 om belangrijke trends, risicovolle sectoren en regio’s en opkomende tactieken te identificeren. Dit jaar heeft het ThreatLabz-team zijn eigen analyse van ransomware-samples en aanvalsdata aangevuld met externe bronnen.
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange platform beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SSE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Jordy Loozekoot
E-mail: jloozekoot@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
E-mail: zscaler@whizpr.nl