Ransomware is sinds 2019 met 466 procent toegenomen. Daarnaast wordt het steeds vaker gebruikt als voorloper van een fysieke oorlog, zoals te zien in het Rusland-conflict in Oekraïne en de cyberoorlog tussen Iran en Albanië. Dit blijkt uit de resultaten van het Ransomware Index Report Q2-Q3 2022 van Ivanti. Uit het rapport blijkt dat ransomware sinds 2019 met 466 procent is toegenomen.
Het onderzoek voor dit rapport werd uitgevoerd in samenwerking met Cyber Security Works, een Certifying Numbering Authority (CNA), en de threat intelligence solution provider Cyware. Uit het rapport blijkt dat het aantal ransomware-groepen blijft stijgen, maar dat de ransomware ook steeds verfijnder wordt. In de eerste drie kwartalen van 2022 zijn 35 kwetsbaarheden en 159 actieve exploits in verband gebracht met ransomware. Voor veel organisaties blijkt het lastig om hun systemen hier op een efficiënte manier tegen te beschermen. Dit komt door het gebrek aan de juiste gegevens en dreigingscontext.
Ransomware-families
Het rapport identificeert 10 nieuwe ransomware-families, genaamd Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui en NamPoHyu. Hiermee komt het totaal op 170 ransomware-families. Deze gebruiken 101 Common Vulnerabilities and Exposures (CVE’s) voor phishing-aanvallen, en daarom vertrouwen ransomware-aanvallers steeds vaker op spear phishing-technieken om nietsvermoedende slachtoffers te lokken en hun kwaadaardige payload af te leveren. Een krachtig voorbeeld hiervan is de Pegasus-spyware, dat een eenvoudig phishing-bericht gebruikt om een backdoor-toegang te creëren, gebruikmakend van iPhone-kwetsbaarheden. Dit resulteerde in de compromittering van vele wereldwijd bekende personen.
Om effectief te zijn heeft ransomware menselijke interactie nodig. Dat enkel phishing wordt gebruikt bij aanvallen is een mythe. Voor het onderzoek zijn 323 actuele ransomware-kwetsbaarheden geanalyseerd en met het MITRE ATT&CK-framework in kaart gebracht om daarmee de tactieken, technieken en procedures te bepalen die worden gebruikt om een organisatie te compromitteren. Hiermee is vastgesteld dat 57 ervan leiden tot een volledige systeemovername vanaf de eerste toegang tot exfiltratie.
Nieuwe kwetsbaarheden
Er werden ook twee nieuwe ransomware-kwetsbaarheden geïdentificeerd: CVE-2021-40539 en CVE-2022-26134. Die worden beide gebruikt door productieve ransomwarefamilies zoals AvosLocker en Cerber, vóór of op dezelfde dag dat ze zijn toegevoegd aan de National Vulnerability Database (NVD). Deze cijfers benadrukken dat organisaties zeer vatbaar zijn voor deze aanvallen als ze uitsluitend vertrouwen op de bekendmaking van NVD's om de kwetsbaarheden in hun systemen te patchen.
Verder blijkt dat er in de KEV-catalogus (Known Exploited Vulnerabilities) van CISA, een veelgebruikte lijst met kwetsbaarheden, die Amerikaanse overheidsinstellingen binnen een bepaalde termijn moeten verhelpen, maar liefst 124 ransomware-kwetsbaarheden ontbreken.
Kritieke infrastructuur
Het rapport analyseerde ook de impact van ransomware op kritieke infrastructuur, met als drie zwaarst getroffen sectoren de gezondheidszorg, energie en kritieke productie. Uit het rapport blijkt dat 47,4% van de ransomware-kwetsbaarheden gezondheidszorgsystemen treffen, 31,6% energiesystemen en 21,1% kritieke productiesectoren.
Toekomstige trends
Het rapport biedt ten slotte nog inzicht in huidige en toekomstige ransomware-trends. Met name malware met cross-platform mogelijkheden blijkt zeer in trek, omdat ransomware-exploitanten hiermee eenvoudig vanuit een enkele codebasis meerdere besturingssystemen kunnen aanvallen. Het rapport brengt ook een aanzienlijk aantal aanvallen op externe leveranciers van beveiligingsoplossingen en softwarebibliotheken aan het licht, wat resulteerde in een overvloed aan mogelijke slachtoffers. In de toekomst kunnen organisaties nieuwe ransomwarebendes verwachten nu prominente groepen zoals Conti en DarkSide naar verluidt hun deuren sluiten. Nieuwe bendes zullen waarschijnlijk de broncode en exploitatiemethoden van de verdwenen ransomware-groepen hergebruiken of aanpassen.