Ransomwarecriminelen verschuiven focus naar afpersing

Dit blijkt uit het EMEA Threat Intelligence Report van Check Point. Traditionele ransomware-aanvallen draaiden om encryptie: criminelen versleutelden bestanden en vroegen losgeld voor de ontgrendeling. Maar encryptie brengt steeds meer problemen met zich mee. Het proces is technisch complex, maakt aanvallers zichtbaar voor beveiligingssystemen en vereist het beheer van unieke sleutels voor meerdere slachtoffers. Daarnaast moeten criminelen “klantenservice” bieden voor gegevensherstel, wat tijd en geld kost.

Ransomwaregroepen zijn bovendien afhankelijk van hun reputatie: slachtoffers moeten geloven dat ze hun bestanden terugkrijgen na betaling. Als decryptie mislukt, daalt dat vertrouwen en wordt de kans kleiner dat toekomstige slachtoffers losgeld betalen. Encryptie dwingt criminelen ook om samen te werken met Ransomware-as-a-Service (RaaS)-platforms, wat hun winstmarges verkleint en hen kwetsbaarder maakt voor opsporingsdiensten.

Daling losgeldbetalingen, opkomst van pure data-afpersing

Steeds minder slachtoffers betalen losgeld. Bedrijven investeren in betere back-ups en weigeren te betalen voor het herstellen van versleutelde gegevens. Daarentegen blijft afpersing op basis van gestolen data (Data Exfiltration Only, DXF-only) stabiel: in 35% van de gevallen wordt betaald. Door de hoge kosten en afnemende effectiviteit van encryptie stappen criminelen over op DXF-only-aanvallen, waarbij slachtoffers geld moeten betalen om publicatie van hun data te voorkomen.

Groepen zoals Karakurt en Lapsus$ waren de eerste die volledig overstapten op deze methode. Nieuwkomers richten zich exclusief op de verkoop van gestolen data. Bashe (ook bekend als Eraleign), actief sinds april 2024, is een voorbeeld hiervan. Dit platform biedt een speciale dataleksite en een onderhandelingsplatform, zonder encryptietools.

Nep-aanvallen en valse claims

DXF-only-aanvallen brengen nieuwe problemen met zich mee. Omdat er geen directe verstoring plaatsvindt, zoals bij encryptie, kunnen criminelen eerder gelekte data hergebruiken en doen alsof ze een nieuw slachtoffer hebben gemaakt. Hierdoor wordt het moeilijker om ransomwarecampagnes te volgen en de echte daders te identificeren. Meerdere groepen kunnen dezelfde aanval claimen, wat de opsporing bemoeilijkt.

Aanvankelijk vermeden veel RaaS-groepen ziekenhuizen en medische instellingen als doelwit, vooral tijdens de eerste maanden van de pandemie. Onderzoekers van Check Point zien echter dat deze houding langzaam verdwijnt. Sommige groepen staan niet langer directe verstoring van zorgsystemen toe, maar moedigen wel de diefstal van medische gegevens en afpersing aan. Na de politieactie tegen ransomwaregroep ALPHV verslechterde de situatie verder. ALPHV riep haar partners expliciet op om ziekenhuizen aan te vallen. Dit laat zien dat ethische grenzen binnen de cybercriminaliteit steeds verder vervagen.

In Nederland was de zorgsector de afgelopen zes maanden het vaakst slachtoffer van ransomware-aanvallen. Gemiddeld werd een Nederlandse organisatie 993 keer per week aangevallen, maar in de zorg lag dit aantal op 3.175 aanvallen per week. Op de tweede plaats staat de consultancysector (1.432 aanvallen per week), gevolgd door de overheid en militaire sector (1.118 aanvallen per week).

Gevoelige gegevens op straat

"De verschuiving naar afpersing van datalekken brengt een nog sluipender risico met zich mee: organisaties worden niet langer alleen geconfronteerd met operationele verstoringen, maar ook met de publieke blootstelling van gevoelige gegevens. Beveiligingsstrategieën moeten evolueren om zich te richten op vroege detectie, sterke gegevensversleuteling en robuuste toegangscontroles om deze bedreigingen te beperken", aldus Omer Dembinsky, Data Research Group Manager bij Check Point Software.