Wouter Hoeffnagel - 08 februari 2023

Rapport: Minder ransomware-aanvallen en meer DDoS-aanvallen

Het aantal ransomware-aanvallen is afgelopen jaar met 5% gedaald. Waar in 2021 nog in totaal 2.667 ransomware-aanvallen plaatsvonden, komt dit aantal in 2022 uit op 2.531 aanvallen. Tegelijkertijd is het aantal DDoS-incidenten en business email compromise (BEC)-aanvallen, ook bekend als CEO-fraude, juist gestegen.

Dit blijkt uit het Annual Threat Monitor Report 2022 van NCC Group, de moedermaatschappij van Fox-IT. NCC Group meldt dat aanvallers zoeken naar nieuwe mogelijkheden voor het afpersen van doelwitten. Zij zetten daarbij steeds vaker in op DDoS-aanvallen in plaats van ransomware.

Hoewel er in 2022 iets minder aanvallen waren dan in 2021, was er een opmerkelijke piek in ransomware-aanvallen tussen februari en april. Deze stijging viel samen met het begin van het Russisch-Oekraïense conflict, toen de prominente aanvallersgroep LockBit zijn activiteiten opvoerde. Uit de analyses over het jaar 2022 blijkt dat ransomware-aanvallers effectief innoveren en bereid zijn om elke gelegenheid en techniek te vinden om hun slachtoffers geld af te persen. Aanvallers gebruikten datalekken en DDoS om geavanceerde aanvallen te maskeren.

Meer actie vanuit overheden en politie

Matt Hull, NCC Group's Global Head of Threat Intelligence: “2022 was opnieuw een jaar dat ons scherp hield. Het dreigingslandschap is sterk beïnvloed door het conflict tussen Rusland en Oekraïne, met een heel arsenaal aan offensieve cybercapaciteiten, van DDoS tot malware, ingezet door criminelen, hacktivisten en zelfs andere landen. Hoewel het misschien niet het 'cybergeddon' is dat sommigen verwachtten van het grote wereldwijde conflict, zien we dat door staten gesponsorde aanvallen toenemen. Cyberoorlogsvoering blijkt van cruciaal belang in dit hybride cyber-fysieke slagveld. De daling in het aantal aanvallen en de waarde ervan is waarschijnlijk deels te wijten aan een steeds hardere, gezamenlijke reactie van overheden en politie en natuurlijk de wereldwijde impact van de oorlog in Oekraïne.”
 
“Vooruitkijkend naar 2023 verwachten we dat aanvallers hun aandacht zullen richten op het compromitteren van toeleveringsketens, het omzeilen van multifactorauthenticatie (MFA) en het profiteren van verkeerd geconfigureerde API’s”, verwacht Hull.

Toename van DDoS- en BEC-aanvallen

De term ransomware verwees oorspronkelijk naar een vorm van software die data versleutelt met het oog op afpersing. Daarna kwam dubbele afpersing, waarbij ransomware en vervolgens het lekken van gevoelige data op een "dataleksite" - ook bekend als ‘pay-now-or-get-breached’ - werden gebruikt. Nu gebruiken ransomware-aanvallers zoals LockBit 3.0 DDoS-aanvallen om nog meer druk uit te oefenen op hun slachtoffer, ook wel bekend als driedubbele afpersing.
 
In 2022 observeerde NCC Group 230.519 DDoS-aanvallen, waarvan 35% gericht waren op de Verenigde Staten. Hiervan vond 27% plaats in januari. De vroege toename van DDoS-aanvallen en inbreuken door botnets wijst op een grotere onrust in het cyberlandschap, deels beïnvloed door het conflict tussen Rusland en Oekraïne. Naast desinformatiecampagnes en malware, blijven zowel criminele als hacktivistische groepen DDoS inzetten als wapen om kritieke nationale infrastructuur in Oekraïne en daarbuiten lam te leggen.
 
Aanvallen die vaak minder aandacht krijgen dan ransomware, zoals DDoS, zijn duidelijk een groeiende dreiging voor organisaties. Deze aanvallen vertegenwoordigen 33% van alle door NCC Group’s Cyber Incident Response Team (CIRT) waargenomen incidenten.

Onrust bij aanvallers

LockBit was in 2022 de meest actieve aanvaller en verantwoordelijk voor 33% van alle gemonitorde ransomware-aanvallen (846). Dit is een stijging van 94% ten opzichte van 2021 (436 aanvallen). De groep piekte in april met 103 aanvallen, voorafgaand aan de lancering van een nieuwe ransomware-software en rebranding naar LockBit 3.0. BlackCat was goed voor 8% van de totale aanvallen in 2022. Na een rustige start in december 2021 (4 aanvallen), pleegde de groep gemiddeld 18 aanvallen per maand, met een piek van 30 aanvallen in december 2022.
 
De belangrijkste aanvaller van 2021, het aan Rusland gelieerde Conti, verminderde het aantal aanvallen drastisch tot slechts 7% van alle geregistreerde aanvallen (21% in 2021), waarbij vanaf juni geen aanvallen meer werden waargenomen. Deze afname in activiteit viel samen met de introductie van de nieuwe groep BlackBasta, waarvan wordt aangenomen dat deze gelieerd is aan - of een vervanger is van - Conti.
 
Het rapport is samengesteld door het Global Threat Intelligence-team van NCC Group. De inzichten zijn gebaseerd op incidenten die door NCC Group's wereldwijde managed detection and response service (MDR) en zijn wereldwijde cyber incident response team (CIRT) zijn geïdentificeerd.

Axians 12/11/2024 t/m 26/11/2024 BN+BW