Kaspersky: Steeds meer bedrijven slachtoffer ransomware-aanvallen

Een groeiende hoeveelheid ransomware-aanvallen richt zich op bedrijven. Dit jaar was 26,2 procent van de slachtoffers een zakelijke gebruiker. Een jaar geleden was dat nog 22,6 procent. Het aantal aanvallen neemt toe, vooral door drie aanvallen die dit jaar plaatsvonden en veel slachtoffers wisten te maken.

Dat meldt Kaspersky Lab in zijn Story of the Year 2017-rapport. Afgelopen jaar nam het aantal ransomware-aanvallen niet alleen toe, ook werden die steeds geavanceerder. Het gaat hier om de WannaCry-aanval van 12 mei, ExPetr op 27 juni en BadRabbit van eind oktober. In alle gevallen bedienden de aanvallers zich van exploits die speciaal zijn ontwikkeld om bedrijfsnetwerken te compromitteren.

Criminele interesse in bedrijven

“De spraakmakende aanvallen van 2017 zijn een extreem voorbeeld van de groeiende criminele interesse in bedrijfsdoelen”, zegt Jornt van der Wiel, Security Researcher bij Kaspersky Lab. “We zagen deze trend al in 2016, in 2017 is hij geaccelereerd en vooralsnog lijkt hij niet van plan om gas terug te nemen. Zakelijke slachtoffers zijn zeer kwetsbaar, kunnen een hogere losprijs betalen dan particulieren en zijn vaak bereid om te betalen om het bedrijf operationeel te houden. Het mag geen verrassing heten dat er ook nieuwe bedrijfsgerichte infectievectoren, bijvoorbeeld via externe desktopsystemen, in opkomst zijn.”

In 2017 werden er volgens Kaspersky bijna 950.000 unieke gebruikers aangevallen, tegenover ongeveer 1,5 miljoen in 2016. Het verschil is voor een groot deel te zoeken in detectiemethoden. Die zijn verfijnder geworden en classificeren verschillende aanvallen nu op andere manieren.

Ransomware-families

Er is een duidelijke daling in het aantal nieuwe ransomware-families – 38 in 2017 tegenover 62 in 2016 – met een overeenkomstige toename van aanpassingen aan bestaande ransomware – meer dan 96.000 nieuwe wijzigingen werden gedetecteerd in 2017, vergeleken met 54.000 in 2016. De toename van modificaties is mogelijk een weerspiegeling van pogingen van aanvallers om hun ransomware te verdoezelen, omdat beveiligingsoplossingen steeds beter tot detectie in staat zijn.

Vanaf het tweede kwartaal van 2017 hebben enkele groepen hun ransomware-activiteiten beëindigd en sleutels gepubliceerd om bestanden te decoderen. Het gaat hier onder andere om AES-NI, xdata, Petya/Mischa/GoldenEye en Crysis. Crysis is daarna weer opgedoken, mogelijk gereanimeerd door een andere groep. Ook ziet Kaspersky dat er steeds meer infecties plaatsvonden via remote-desktopsystemen.

Toegang tot data verliezen

Van de in 2017 door ransomware getroffen bedrijven geeft 65 procent aan dat ze de toegang tot een aanzienlijke hoeveelheid data, of zelfs álle data, hebben verloren. Van iedere zes bedrijven die hebben betaald, heeft er één de verloren data niet meer kunnen terughalen. Deze cijfers komen grotendeels overeen met die van 2016.

Wel doet het in juli 2016 gelanceerde No More Ransom-initiatief het goed. Het project brengt rechtshandhaving en beveiligingsleveranciers bij elkaar om de grote ransomware-families op te sporen en hun activiteiten te verstoren, individuen te helpen hun data terug te krijgen en het lucratieve bedrijfsmodel van criminelen te ondermijnen.