Ransomware-blues: de 4 meestgebruikte beginakkoorden
Ransomware is de pandemie van de IT-wereld. Volgens de internationale onderzoeks- en risicoanalysespecialist Kroll had in september een derde van alle IT-beveiligingsincidenten te maken met een ransomware-aanval. Het bedrijf zette de vier meest voorkomende aanvalsroutes op een rij.
© CC0 - Unsplash.com
CC0 - Unsplash.com
Hoewel er veel aandacht is voor phishing, is dat niet de meest gebruikte toegangsroute van ransomware-aanvallers. Volgens Kroll komen de aanvallers in bijna de helft van de gevallen (47%) binnen via het open remote desktop protocol. Dit jaar is dit protocol erg populair omdat het mensen tijdens de Covid-19-crisis in staat stelt van huis uit op bedrijfsnetwerken te werken. Maar wanneer de beveiliging niet op orde is, biedt het een vierbaanssnelweg naar de kern van de gedigitaliseerde bedrijfsvoering.
Phishing is wel een goede tweede in de ranglijst, maar met 26 procent van de onderzochte gevallen, is het beduidend minder populair bij de aanvallers. Dan volgt met 17 procent het misbruik van kwetsbaarheden in specifieke software, zoals Citrix NetScaler CVE-2019-19781 en Pulse VPN CVE-2019-11510. Het overnemen van accounts met behulp van ontfutselde inloggegevens was goed voor de resterende 10 procent van de onderzochte gevallen.
Golfbewegingen in aanvallen
Drie sectoren sprongen er volgens Kroll dit jaar uit als doelwit voor de ransomware-aanvallen: zakelijke dienstverleners, gezondheidszorg en de ICT-sector. De aanvallers bedienden zich het vaakst van Ryuk en Sodinokibi-malware om hun slachtoffers mee te infecteren, gevolgd door Maze. Opvallend is dat Ryuk aan het einde van het tweede kwartaal opeens veel minder is ingezet. Maar zulke fluctuaties in het gebruik zijn niet ongebruikelijk, stellen de onderzoekers van Kroll. Na een heel actieve periode duiken de ontwikkelaars van malware enige tijd onder om nieuwe eigenschappen te programmeren en komen dan later weer in actie. Het lijkt erop dat Ryuk bijvoorbeeld een reïncarnatie heeft gekregen in de nieuwe Conti-ransomware.
Ransomware voert weliswaar Krolls lijst van IT-beveiligingsincidenten voor bedrijven aan met 35 procent, maar wordt toch op de voet gevolgd (32 procent) door het misbruik van zakelijke e-mail (business email compromise ofwel BEC). Daaronder staan onbevoegde toegang (17 procent), het compromitteren van websites (7 procent) en malware (6 procent).
Bij die acties zoeken de aanvallers vaak naar gevoelige gegevens. Sinds begin 2020 is een nieuwe strategie van de criminelen om bedrijven vervolgens af te persen met de dreiging die gegevens te publiceren op het dark web.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee