Helft aanvallen met ransomware komt van acht groepen

Deze conclusies trekt Kaspersky Labs uit onderzoek naar de handelwijzen van acht van de meest actieve ransomwaregroepen. Samen blijken deze groepen goed voor meer dan de helft van de aanvallen in de periode maart 2021 tot maart 2022, meldt Venturebeat.

De stadia in de aanvallen vertonen opmerkelijk veel overeenkomsten: Binnendringen op het netwerk van het slachtoffer, malware injecteren, onderzoek doen naar de opbouw van het netwerk, zoeken naar rechten op het netwerk, wissen van schaduwkopieën, verwijderen van backups en uiteindelijk de zaak op slot gooien en losgeld eisen.

Kaspersky onderzocht de werkwijzen van de ransomwaregroepen Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte en  BlackCat. Ze richten zich vooral op organisaties in de Verenigde Staten, Groot-Brittannië en Duitsland. In totaal vielen ze meer dan 500 organisaties aan gedurende de periode die werd onderzocht.

Standaardisering bij ransomwaregroepen

Een verklaring voor de grote gelijkenis tussen de strategieën tools die worden ingezet door verschillende groepen, is de opkomst van een fenomeen genaamd ransomware-as-a-service. De groepen nemen geautomatiseerde tools van een dienstverlener af om malware bij slachtoffers af te leveren.

Ondanks de standaardisatie bij het aflevermodel is het volgens Kaspersky nog niet eenvoudig om die als basis te nemen voor verweer tegen de aanvallen. Er zijn domweg te veel 'threat vectors' in het spel om een effectieve verdediging in te stellen. Tijdig patchen blijft het devies volgens de IT-beveiliger.