Hoewel wetshandhaving aanzienlijke activiteiten in het vierde kwartaal een halt toeroept, overtreffen de ransomware-incidenten in 2023 nog steeds 2022 met bijna 70% en groeien de actieve ransomware-bendes met 34%. Corvus Insurance, cyberverzekeraar met een eigen AI-gestuurd cyberrisicoplatform, heeft het Q4 2023 Ransomware-rapport uitgebracht. Het rapport bevat gegevens van ransomware-leksites en laat zien dat, hoewel de aanvallen in Q4 licht daalden ten opzichte van Q3 2023, de ransomware-activiteit in dat jaar de totalen van 2022 met 68% overtrof.
Corvus Insurance hield de ransomware-activiteit in 2023 nauwlettend in de gaten en zag al vroeg dat de aanvallen in een recordtempo plaatsvonden. Vorig jaar steeg het aantal ransomware-aanvallen in elk van de eerste drie kwartalen en daalde daarna licht in het vierde kwartaal. Aanzienlijke internationale wetshandhavingsactiviteiten in het vierde kwartaal hebben met succes het ecosysteem van ransomware verstoord, waaronder het uitschakelen van ALPHV/BlackCat, een van de meest productieve ransomware-bendes, en het elimineren van Qakbot, een wijdverspreide familie van malware die wordt gebruikt om toegang te krijgen tot netwerken van slachtoffers.
Als gevolg van de acties van de wetshandhaving daalden de aanvallen in Q4 met 7% ten opzichte van Q3, met 1.278 slachtoffers die werden waargenomen op ransomware-leksites. Ondanks deze kwartaaldaling was de activiteit in Q4 2023 nog steeds hoger dan een jaar eerder. Daarnaast vestigde 2023 een nieuw record voor ransomware-aanvallen met 4.496 totale slachtoffers van datalekken, vergeleken met 2.670 in 2022 en 3.048 in 2021.
“Hoewel de ransomware-activiteit in 2023 een recordhoogte bereikte, is het echte verhaal hier de ongelooflijke impact die wetshandhaving had op deze groepen toen we het jaar afsloten”, zegt Jason Rebholz, CISO, Corvus Insurance. “Helaas is er geen tijd om te vieren. Bedreigers zijn veerkrachtig en hebben zich snel op nieuwe malware gestort, wat betekent dat iedereen waakzaam moet blijven bij het beperken van deze bedreigingen.”
Factoren die de ransomware-cijfers in het afgelopen kwartaal hebben aangedreven:
Weerbaarheid bedreigingsactoren
Fortra PhishLabs meldt dat Qakbot, ook wel QBot genoemd, de meest waargenomen malwarefamilie was die via e-mail werd verspreid in Q3 2023. Hoewel internationale rechtshandhaving het Qakbot-malwarenetwerk in Q3 uitschakelde, was het nog steeds goed voor 31% van het totale ransomwarevolume in dat kwartaal. De afwezigheid ervan in Q4, samen met de zoektocht van bedreigingsactoren naar nieuwe mogelijkheden om de leegte op te vullen, heeft waarschijnlijk bijgedragen aan het lager dan verwachte aantal ransomware-slachtoffers en de lichte daling van het aantal slachtoffers in Q4. Maar deze verstoring hield de bedreigingen niet lang tegen. Corvus constateerde een duidelijke verschuiving naar andere malwarestammen zoals “Pikabot” en “DarkGate”, die werden gebruikt om aanvankelijk toegang te krijgen tot netwerken van slachtoffers.
Meer actieve ransomware-groepen
Het aantal actieve ransomware-groepen steeg met 34% tussen Q1 en Q4 2023. Deze toename kan worden toegeschreven aan het uiteenvallen van bekende ransomware-groepen die hun eigen encryptors lekten op het dark web, waardoor deze beschikbaar werden voor nieuwe actoren die ransomware-operaties startten. Ten minste tien nieuwe ransomware-groepen hebben bijvoorbeeld de Babuk-encryptor gebruikt, die in 2021 uitlekte. Daarnaast begonnen leden van grotere verdwenen groepen splintergroepen te vormen, waardoor het aantal ransomware-bendes dat aanvallen uitvoert toenam.
“Hoewel velen zich 2023 zullen herinneren vanwege het recordaantal ransomware-aanvallen, is wat net zo opmerkelijk is de veerkracht van bedreigingsactoren die, ondanks toenemende actie van wetshandhaving, snel nieuwe vormen van malware konden gebruiken om de eerste toegang veilig te stellen”, aldus Rebholz. “In 2024 zullen we ongetwijfeld getuige zijn van veel van dezelfde activiteiten, omdat criminelen blijven aanvallen, van merk veranderen en opnieuw toeslaan. Bedrijven moeten voorbereid blijven met verbeterde beveiligingscontroles en cyberverzekeringen om de risico’s tot een minimum te beperken.”
Belangrijkste trends in de sector
Advocatenkantoren: In het derde kwartaal was de ALPHV/BlackCat ransomware-groep goed voor bijna een kwart van alle slachtoffers in de juridische sector (23,5%). Dit aantal daalde met 8,8% in het vierde kwartaal, waarschijnlijk als gevolg van de verstoring van de wetshandhaving in december.
Transport, logistiek en opslag: De transport-, logistiek- en opslagsector kende een consistente toename in 2023. Lockbit 3.0 was goed voor 22% van de slachtoffers, terwijl ALPHV/BlackCat goed was voor 15,87%. Gezien de aard van het werk zijn bedrijven in deze sector gevoelig voor bedrijfsonderbreking en kunnen ze een aantrekkelijk doelwit vormen voor dreigingsactoren die slachtoffers onder druk willen zetten om te betalen voor decryptie.
Lees het volledige Corvus Q4 Ransomware Report here.
