Het volume van ransomware-aanvallen is in 2021 met 150% toegenomen ten opzichte van 2020 en, volgens de FBI waren er medio 2021 100 verschillende soorten ransomware in omloop. De omvang van de aanval loopt uiteen van klein en zeer gericht, tot massaal en wijdverbreid. Senatoren Dick Durbin en Chuck Grassley lieten de Senaat in juli van 2021 weten dat 50-75% van alle ransomware-aanvallen tegen kleine bedrijven worden uitgevoerd. De meeste blijven ongemeld, daarom kunnen we meer leren van grotere aanvallen zoals die tegen SolarWinds waarbij honderden organisaties werden getroffen.
Ransomware is softwarecode die is ontworpen om een computersysteem, netwerk, bestanden en/of gegevens te vergrendelen (of de toegang te blokkeren) totdat het slachtoffer een bepaald bedrag betaalt: het losgeld (ransom).
Tot nu toe waren er in 2021 veel grote, erg schadelijke ransomware-aanvallen. We hebben een top 5 gemaakt in volgorde van hun betekenis in de zin van maatschappelijke veiligheid richting 2022. Een aanval die alleen resulteert in het betalen van veel losgeld, hoeft niet tegelijk schadelijk of mogelijk gevaarlijk voor de samenleving te zijn.
De 5 meest schadelijke ransomware-aanvallen in 2021 tot aan 1 november
1. DarkSide-aanval op de Colonial Pipeline Company
Colonial Pipeline Company vernam begin mei dat het slachtoffer was geworden van een ransomware-aanval, waardoor de brandstoftoevoer naar een groot deel van het zuidoosten van de VS snel werd verstoord, met mogelijke verspreiding tot in New York. De Colonial Pipeline ransomware aanval is verreweg de meest spraakmakende aanval van 2021. Het is geen wonder - we zijn een automobielmaatschappij, en Amerikanen hebben hun brandstof nodig. Colonial levert 50% van de brandstof voor de oostkust.
Wat de aanval bijzonder gevaarlijk maakte, was de reactie van de consument. Mensen raakten in paniek en kochten zoveel benzine als ze konden opslaan. Het werd overal opgeslagen, zelfs in onveilige containers, zoals plastic bakken en zakken, die makkelijk in brand konden vliegen.
Het was ontluisterend om te lezen hoe simpel de aanvalsmethode was. Colonial had niet de juiste beveiligingsmaatregelen zoals multi-factor authenticatie (MFA) getroffen. Aanvallers konden vrij gemakkelijk de VPN van het bedrijf binnendringen. Hackers probeerden gewoon verschillende wachtwoorden totdat ze binnen waren.
Hackersgroepen werden aangemoedigd door het gemak waarmee zo'n vitaal deel van de nationale infrastructuur werd platgelegd. Men denkt nu dat ze in 2022, zonder al te veel moeite, kritieke infrastructuur zouden kunnen uitschakelen.
Betaald losgeld: $4,4 miljoen
2. REvilitaire aanval op JBS USA
Later in mei werd JBS, de grootste rundvleesleverancier ter wereld, getroffen door een ransomware-aanval van de REvil ransomware-groep. De Amerikaanse divisie, JBS USA, moest vanwege de hack de operaties volledig stopzetten. Onnodig te zeggen dat rundvlees uit veel winkelschappen in de Verenigde Staten verdween, omdat de hack gevolgen had voor de toeleveringsketen. Deze begint juist bij JBS USA.
Het REvil-JBS-incident onderstreept hoe kwetsbaar de Amerikaanse voedselvoorzieningsketen is voor een veel bredere en agressievere aanval, zeker als die met steun van een overheid wordt uitgevoerd. Het is duidelijk dat een gecoördineerde, gelijktijdige hack van meerdere grote voedselleveranciers in het hele land enorme voedseltekorten zou kunnen veroorzaken.
Hoewel JBS verklaarde dat zijn "robuuste IT-systemen en versleutelde back-upservers" de redenen waren voor een snel herstel, lijkt dat dat niet de enige oorzaak van het herstel te zijn geweest. Later in juni werd door JBS onthuld dat ze veel losgeld hadden betaald om te voorkomen dat bedrijfs-, klant- en werknemersgegevens in gevaar kwamen.
Betaald losgeld: $11 miljoen
3. Onbekende ransomware-aanval op openbare scholen in Buffalo
Op 12 maart trof een ransomware-aanval (door onbekende criminelen) het Buffalo Public School-systeem in New York. Het systeem omvat momenteel 34.000 studenten. Hoewel de hoofdinspecteur van Buffalo Schools de impact van de aanval bagatelliseerde, wees een onderzoek uit dat de ontbrekende documenten tientallen jaren lesmateriaal, leerlingdossiers en zo'n 5000 aanvragen voor toelating tot scholen in september omvatten. Ook systemen die essentieel zijn voor de werking van het district, zoals juridische en boekhoudkundige systemen, bleken te zijn lamgelegd, volgens stukken en een video over de zaak, die later werden gepubliceerd door WGRZ.
Dit incident wijst op een verontrustende samenloop van omstandigheden die op veel te veel landelijke scholen van toepassing is. Scholen hebben simpelweg te weinig personeel op het gebied van IT-beveiliging, met name cyberbeveiliging. Ze zijn sinds augustus 2021 in meer dan de helft van de gevallen het slachtoffer.
Losgeld betaald: Onbekend
4. Evil Corp aanval op CNA Financial
Op 21 maart werd CNA Financial, een van de grootste verzekeringsmaatschappijen van de VS, getroffen door een ransomware-aanval die een grote netwerkverstoring veroorzaakte. Na zes weken was het netwerk van het bedrijf nog steeds niet volledig operationeel, ook al beweerden leidinggevenden van het bedrijf in een verklaring dat het "onmiddellijke actie ondernam door [zijn] systemen" proactief los te koppelen van het CNA-netwerk.
Het meest verontrustende aan dit incident is dat CNA een beveiligingsomgeving had die geavanceerder was dan die van de meeste organisaties. Toch werden ze nog steeds gehackt. Ironisch genoeg biedt het bedrijf een cyberverzekering aan. Het incident onthult ook een groeiend bedreigingslandschap - operaties met toegang op afstand. In dit geval versleutelden de hackers 15.000 apparaten, waaronder de computers van veel werknemers op afstand.
We zijn er niet 100% zeker van dat Evil Corp achter de aanval zat. De hackers gebruikten echter malware met de naam Phoenix Locker, die de ransomware van Evil Corp is, genaamd 'Hades'. Evil Corp is gevestigd in Rusland, en CNA verklaarde dat de hackers niet onderworpen waren aan Amerikaanse sancties.
Losgeld betaald: $40 miljoen
5. Wizard Spider over de Health Service Executive (HSE) van Ierland.
Op 14 mei moest het door de Ierse overheid beheerde gezondheidssysteem voor openbare gezondheidsdiensten al hun IT-systemen sluiten om de verspreiding van malware te voorkomen. Helaas was het tijdens de ransomware-aanval toch al in delen van hun netwerk geïnfiltreerd. Het kostte HSE tot 30 juni om de systemen voor online registratie van medische kaarten te herstellen.
De hackers hadden toegang tot patiënt- en personeelsinformatie en lekten gegevens over de 100.000 werknemers en miljoenen patiënten van HSE. Het lijkt erop dat medische dossiers, aantekeningen en behandelingsgeschiedenissen deel uitmaken van de gecompromitteerde gegevens. In een verklaring zei HSE dat Russisch sprekende hackers een deel van de gecompromitteerde gegevens op het 'dark web' hadden gezet en dat mensen hierdoor werden getroffen. In hun cyberbeveiligingsincidenten-update in juli verklaarde HSE dat de gezondheidszorg nog steeds zwaar leed onder de aanval.
Het behoeft geen betoog dat de maatschappelijke impact van inbreuken op het gezondheidssysteem enorm is. Zowel in termen van gecompromitteerde informatie als de nationale psyche. Wie zou ooit kunnen vermoeden dat een vijandige buitenlandse groep alles zou weten over zijn of haar medische geschiedenis en het ook nog eens zou publiceren zodat iedereen het kan zien?
Ondanks de ernst van de inbreuk verklaarde de HSE dat het GEEN losgeld zou betalen.
Hoe Splashtop je kan helpen ransomware-aanvallen te voorkomen
Veel bedrijven wenden zich tot VPN en RDP om werken op afstand mogelijk te maken, waardoor hun bedrijf kan worden blootgesteld aan toenemende cyberdreigingen. In de afgelopen jaren hebben Gartner en veel beveiligingsexperts bedrijven aanbevolen om af te stappen van VPN-toegang op netwerkniveau. Ze stellen voor om over te schakelen naar op applicatieniveau werkende identiteitsgebaseerde remote access-oplossingen die een zero-trust framework omarmen.
Splashtop biedt een cloud-native veilige oplossing voor remote access die uw netwerk beschermt tegen hackers. Hoe werkt dat? Onze oplossing laat sowieso nooit mensen op uw netwerk toe. Dat is ons geheime ingrediënt.
Splashtop houdt voortdurend de nieuwste cyberdreigingen in de gaten. Wij doen er alles aan om onze klanten te beschermen. Daarom hebben we eenSecurity Advisory Councilgevormd en eenSecurity Feedgelanceerd om IT-professionals en MSPs te helpen op de hoogte te blijven van de nieuwste kwetsbaarheden.