Beheer

Security
ransomware

Helft aanvallen met ransomware komt van acht groepen

Meer dan 500 organisaties doelwit.

© CC0 - Pixabay.com Tumisu
1 juli 2022

Meer dan 500 organisaties doelwit.

Onderzoek wijst uit dat ransomwaregroepen in essentie doorgaans allemaal dezelfde fasering in hun aanvallen toepassen en daarbij ook dezelfde, vaak gebruikte tools inzetten. Toch is niet makkelijk preventief actie te ondernemen tegen die tools en werkwijzen, anders dan bekende lekken in software van patches voorzien zodra die beschikbaar zijn.

Deze conclusies trekt Kaspersky Labs uit onderzoek naar de handelwijzen van acht van de meest actieve ransomwaregroepen. Samen blijken deze groepen goed voor meer dan de helft van de aanvallen in de periode maart 2021 tot maart 2022, meldt Venturebeat.

De stadia in de aanvallen vertonen opmerkelijk veel overeenkomsten: Binnendringen op het netwerk van het slachtoffer, malware injecteren, onderzoek doen naar de opbouw van het netwerk, zoeken naar rechten op het netwerk, wissen van schaduwkopieën, verwijderen van backups en uiteindelijk de zaak op slot gooien en losgeld eisen.

Kaspersky onderzocht de werkwijzen van de ransomwaregroepen Conti/Ryuk, Pysa, Clop (TA505), Hive, Lockbit2.0, RagnarLocker, BlackByte en  BlackCat. Ze richten zich vooral op organisaties in de Verenigde Staten, Groot-Brittannië en Duitsland. In totaal vielen ze meer dan 500 organisaties aan gedurende de periode die werd onderzocht.

Standaardisering bij ransomwaregroepen

Een verklaring voor de grote gelijkenis tussen de strategieën tools die worden ingezet door verschillende groepen, is de opkomst van een fenomeen genaamd ransomware-as-a-service. De groepen nemen geautomatiseerde tools van een dienstverlener af om malware bij slachtoffers af te leveren.

Ondanks de standaardisatie bij het aflevermodel is het volgens Kaspersky nog niet eenvoudig om die als basis te nemen voor verweer tegen de aanvallen. Er zijn domweg te veel 'threat vectors' in het spel om een effectieve verdediging in te stellen. Tijdig patchen blijft het devies volgens de IT-beveiliger.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.