Het 2024 Ransomยญware Report van Check Point Software Technoยญloยญgies toont aan dat in 2024 wereldยญwijd 5.414 ransomยญware-aanvallen zijn uitgeยญvoerd op organiยญsaยญties, een stijging van 11% ten opzichte van vorig jaar. 2024 zag de opkomst van 95 actieve ransomยญware-groepen, een toename van 40% ten opzichte van 2023. Van deze nieuwe groepen maakte de ransomยญwaยญreยญgroep FunkSec, waarvan de operaยญtoren lijken gebruik te maken van AI-onderยญsteunde malwaยญreยญontยญwikยญkeยญling, al meer dan 85 slachtยญofยญfers in december 2024 alleen.
Terwijl 2024 begon met een afname in ransomยญware-activiยญteit tijdens Q1, steeg de frequentie van de aanvallen in Q2 en bleef stijgen tijdens de rest van het jaar. Dit culmiยญneerde in een dramaยญtiยญsche piek in Q4, met 1.827 incidenten โ 33% van alle ransomยญware-aanvallen van het jaar, waarmee dit het meest actieve kwartaal was. Dit kan grotenยญdeels worden toegeยญschreven aan het ontstaan van veel nieuwe groepen door het uiteenยญvallen van bepaalde ervaren groepen. Dit zorgde ervoor dat leden met ervaring profesยญsiยญoยญnele nieuwe groepen vormden, wat leidde tot een piek in aanvallen. Dit jaar resulยญteerden wetteยญlijke acties tegen grote ransomยญware-operaยญties zoals LockBit in februari 2024 in arresยญtaยญties, onthulยญlingen van de identiยญteit van groepsยญleiยญders en de inbeslagยญname van cyberยญcriยญmiยญnele infrastructuur.
Exponentiรซle opkomst van nieuwe groepen
Het aanpakken van grote ransomยญware-groepen leidde tot hun versplinยญteยญring, waardoor de concurยญrentie tussen kleinere ransomยญware-bendes toenam en andere dreigingsยญacยญtoren konden opvallen. Deze verschuiยญving is duideยญlijk zichtยญbaar in de opkomst van 95 actieve ransomยญware-groepen in 2024, een toename van 40% ten opzichte van de 68 groepen die actief waren in 2023.
Onder de 46 nieuwe groepen die opdoken, viel RansomHub op als een dominante kracht, die zelfs het gevesยญtigde LockBit in activiยญteit overtrof. Deze nieuwยญkoยญmers, zoals FOG, Lynx, APT73 en Eldorado, hebben het dreigingsยญlandยญschap een nieuwe vorm gegeven en nemen een steeds groter deel van de ransomยญware-incidenten voor hun rekening. Met name de top 10 groepen waren verantยญwoorยญdeยญlijk voor 52,8% van de aanvallen, wat zowel de invloed van nieuwยญkoยญmers als een afname in de dominantie van oudere groepen benadrukt. De combiยญnatie van gevesยญtigde leiders zoals RansomHub, LockBit, Play, Akira, IncRansom en Medusa, naast de opkomst van nieuwe groepen, had verwoesยญtende gevolgen voor wereldยญwijde organiยญsaยญties, met finanยญciรซle verliezen en verstoorde activiteiten.
FunkSec โ AI-gestuurde Ransoware-as-a-Service (RaaS)
De FunkSec ransomยญware-groep dook voor het eerst op in het openbaar eind 2024 en werd snel bekend door het publiยญceren van meer dan 85 geclaimde slachtยญofยญfers (voornaยญmeยญlijk in de VS, India en Europa) โ meer dan elke andere ransomยญware-groep in de maand december. FunkSec presenยญteert zichzelf als een nieuwe RaaS-operatie en geeft de voorkeur aan dubbele afperยญsingsยญtacยญtieken, waarbij gegevensยญdiefยญstal wordt gecomยญbiยญneerd met versleuยญteยญling om slachtยญofยญfers onder druk te zetten losgeld te betalen. FunkSec lijkt geen bekende connecยญties te hebben met eerder geรฏdenยญtiยญfiยญceerde ransomยญware bendes. De meeste kernacยญtiยญviยญteiten van FunkSec worden waarschijnยญlijk uitgeยญvoerd door onervaren spelers, met onderยญsteuยญning van AI. Daarnaast is het moeilijk om de authenยญtiยญciยญteit van de gelekte inforยญmatie te verifiยญรซren, omdat het voornaamste doel van de groep lijkt te zijn om zichtยญbaarยญheid en erkenยญning te krijgen. Bovenยญdien heeft FunkSec banden met hacktiยญvisยญtiยญsche activiยญteiten, met leden die actief zijn in Algerije. Dit benadrukt de steeds vager wordende grens tussen hacktiยญvisme en cyberยญcriยญmiยญnaยญliยญteit, en de uitdaยญgingen om het ene van het andere te onderscheiden.
VS grootste slachtoffer als land, zakelijke dienstverlening als sector
De VS bleef het meest aangeยญvallen bleef, met 936 ransomยญware-aanvallen binnen de landsยญgrenzen. In de top 10 landen die het doelwit zijn van ransomยญware staan echter ook veel Europese landen, zoals Duitsยญland en Frankrijk.
Met betrekยญking tot sectoยญrale doelwitten bleef de sector zakelijke dienstยญverยญleยญning het zwaarst getroffen worden door ransomยญware-aanvallen, een afspieยญgeยญling van de trends van 2023, met 451 geregiยญstreerde aanvallen, gevolgd door de detailยญhandel en daarna de producยญtieยญsector, die een aanzienยญlijke toename van ransomยญware-activiยญteit zag in de laatste drie maanden van het jaar met 201 incidenten in het vierde kwartaal, wat aangeeft dat ransomยญware-exploiยญtanten zich meer op deze sector richten. De bouwsector zou een groeiยญende bron van zorg moeten zijn, aangeยญzien ransomยญware-incidenten in 2024 met 50% stegen ten opzichte van 2023. Door deze stijging steeg de bouwsector naar de vierde plaats, waarmee de finanยญciรซle sector, het onderยญwijs en de gezondยญheidsยญzorg, die in 2023 hoger scoorden, werden ingehaald.
โHet business model van Ransomยญware-as-a-Service heeft de grootste verschuiยญving teweegยญgeยญbracht in het landschap; het heeft ransomยญware gedemoยญcraยญtiยญseerd, waardoor zelfs beginยญnende bedreiยญgers geavanยญceerde aanvallen kunnen uitvoeren. Groepen als RansomHub, die als dominante speler naar voren kwam met 531 aanvallen, zijn een voorbeeld van de kracht van dit modelโ, verklaart Zahier Madhar, security engineer expert bij Check Point. โDaarnaast zien we ook een duideยญlijke fragmenยญtatie van ransomยญwaยญreยญgroepen. Het verdwijnen van de grote spelers heeft kleinere, flexiยญbele groepen aangeยญspoord om de leegte op te vullen, wat heeft geleid tot meer concurยญrentie en innovatie. 2024 toonde ons ook dat steeds meer bedreiยญgers zich richten zich op Linux- en VMware ESXi-systemen, omdat ze hun kritieke rol in bedrijfsยญomยญgeยญvingen erkennen. Daarnaast maken ze gebruik van cloudยญgeยญbaยญseerde tools voor datadiefยญstal en maken ze gebruik van AI om de aanvalsยญdoelยญtrefยญfendยญheid te vergroten.โ
โMet deze toeneยญmende ransomยญware-aanvallen is het noodzaยญkeยญlijk dat organiยญsaยญties een proacยญtieve, gelaagde aanpak van cyberยญbeยญveiยญliยญging hanteren. Denk hierbij aan geavanยญceerde dreigingsยญdeยญtectie, patch manageยญment en een gezamenยญlijke verdeยญdiยญging waarbij organiยญsaยญties samenยญwerken met sectorยญgeยญnoten en wetgeยญvende instanยญties om inforยญmatie te delen en de collecยญtieve beveiยญliยญging te versterken.โ
0 reacties