Ransomware-aanvallen blijven in een record tempo doorgaan. In het derde kwartaal van dit jaar zijn deze aanvallen wereldwijd met 11% gestegen ten opzichte van het tweede kwartaal en met maar liefst 95% jaar in vergelijking met precies een jaar geleden. Dat blijkt uit een recent rapport van Corvus Insurance, de cyberverzekeraar met een eigen AI-gestuurd cyberrisicoplatform,
In haar Q2 2023 Global Ransomware Report, , waarin gegevens van ransomware-leksites worden geanalyseerd om de trends te volgen, merkte Corvus een aanzienlijke opleving op in wereldwijde ransomware-aanvallen, die zich heeft voortgezet in het derde kwartaal. Nu, met nog twee maanden te gaan in het jaar, heeft het aantal ransomware-slachtoffers in 2023 al dat van 2021 en 2022 overtroffen. Als deze trend zich voortzet, zal 2023 het eerste jaar zijn met meer dan 4.000 ransomware-slachtoffers op sites met datalekken (2.670 in 2022).
CL0P massale exploits bereiken hoogtepunt
Twee belangrijke factoren zorgden voor de hoge ransomwarecijfers in het derde kwartaal. De CL0P ransomware-groep heeft een belangrijke rol gespeeld in deze piek in 2023 ransomware-activiteit. CL0P kwam tot leven in Q1 door GoAnywhere software voor bestandsoverdracht te misbruiken, waardoor meer dan 130 slachtoffers werden getroffen. In het tweede kwartaal sloeg CL0P opnieuw toe met het solistisch gebruik van een zero-day massa-exploit door een ransomware-groep die zich richtte op een kwetsbaarheid in de MOVEit-software voor bestandsoverdracht, waardoor 264 slachtoffers werden getroffen ten tijde van dit rapport. De MOVEit-kwetsbaarheid was verantwoordelijk voor 9% van de slachtoffers in Q2 en 13% van de slachtoffers in Q3. Zelfs zonder deze CL0P-pieken in aanvalsactiviteit zou het aantal ransomware nog steeds 5% hoger zijn dan in Q2 en 70% op jaarbasis in Q3.
Seizoenspatronen
Ransomware volgt gewoonlijk seizoenspatronen, met incidenten die afnemen begin mei en laag blijven tot begin augustus. Dit jaar daalde het aantal aanvallen later in juni, grotendeels onder invloed van CL0P, en in plaats van verder te dalen, steeg het aantal aanvallen en bleef het hoog in de eerste helft van augustus. Zelfs zonder CL0P zou de ransomware-activiteit nog steeds een stijging van 70% op jaarbasis laten zien.
“Het is duidelijk dat ransomware-aanvallen in een recordtempo zitten voor 2023, en op basis van de activiteit aan het einde van het derde kwartaal en het begin van het vierde kwartaal verwachten we dat deze aantallen alles zullen overtreffen wat we in voorgaande jaren hebben gezien”, zegt Jason Rebholz, CISO, Corvus Insurance. “Afgezien van deze algemene cijfers, laat dit rapport de impact zien die een enkele ransomware groep als CL0P kan hebben als ze investeren in nieuwe tactieken, wat we zagen met de massale zero-day exploit die verwoesting aanrichtte in het tweede en derde kwartaal.”
Belangrijkste sectoren vertonen stijgende trend
Het Q3-rapport onderzoekt ook welke sectoren de grootste pieken in ransomware-activiteit vertoonden. Dat zijn:
- Advocatenkantoren: Een opleving die deels te wijten is aan de ALPHV ransomware groep, die goed was voor bijna een kwart van alle slachtoffers in deze branche (+70%).
- Overheidsinstellingen: De drijvende kracht achter deze aanvallen was LockBit, die zijn overheidsslachtoffers verdrievoudigde van Q2 naar Q3 (voornamelijk steden en gemeenten) (+95%).
- Andere sectoren met pieken waren productie (+60%), olie en gas (+142%) en transport, logistiek en opslag (+50%).
“Ransomware-actoren kunnen snel van focus veranderen en geen enkele sector is immuun. Er is geen beter moment om ervoor te zorgen dat de juiste beveiligingsmaatregelen zijn genomen om de dreiging te beperken,” aldus Rebholz.
Lees het volledige Corvus Q3 2023 Global Ransomware Report here.
