Bedrijven uit de productie-industrie (manufacturing) zijn het vaakst doelwit van zogeheten double-extortion ransomware-aanvallen. Dat blijkt uit analyses van Zscaler, die het bedrijf met Techzine deelt.
Bij double-extortion ransomware versleutelen en stelen cybercriminelen de data. Door de data ook te stelen, is er een extra pressiemiddel om het slachtoffer te laten betalen. De cybercriminelen kunnen zo namelijk dreigen de data publiekelijk te maken of verkopen. Dit dreigement kan zelfs voortgezet worden wanneer een bedrijf uit zichzelf herstelt van de aanval, bijvoorbeeld met back-ups. Bedrijven willen een dergelijk datalek voorkomen en blijken daarom bereid te betalen, zonder daarbij garanties te hebben.
Volgens Zscaler, dat 36,5 miljard geblokkeerde aanvallen analyseerde, komt 12,7 procent van de slachtoffers van double-extortion ransomware uit de productie-industrie. Daarmee is de sector duidelijk het populairste doelwit. Services (8,9 procent), transport (8,8 procent), retail & groothandel (8,3 procent) en technologie (8 procent) complementeren de top vijf.
Steeds geavanceerder
Bedrijven blijken ook met steeds geavanceerdere aanvallen te maken te krijgen. Zscaler ziet namelijk dat de double-extortion-technieken versterkt worden met gesynchroniseerde DDoS-aanvallen. Door de website van een bedrijf te belasten, willen de aanvallers extra druk zetten op de organisatie om mee te werken.
De analyses van Zscaler laten zien dat zeven ransomware-varianten hierbij in het bijzonder vaak voorkomen:
- Maze was in 2020 met 273 incidenten volgens Zscaler de meest voorkomende ransomware, ondanks dat in november het einde van de activiteiten aangekondigd werd. High tech is met 11,9 procent het populairste doelwit van deze variant.
- Conti neemt de tweede plek in met 190 aanvallen. Deze variant deelt code met Ryuk en wordt gezien als diens opvolger. Vooral manufacturing (12,4 procent) is een populair doelwit van de ransomware.
- Doppelpaymer komt als derde het vaakst voor met 153 waargenomen aanvallen. Bij Doppelpaymer worden vaak hoge bedragen gevraagd. Ook hier is manufacturing (15,1 procent) het vaakst het doelwit.
- Sodinokibi, ook wel bekend als REvil en Sodin, werd 125 keer waargenomen. Sinds januari 2020 gebruikt het double-extortion-technieken. Transport en manufacturing zijn de twee populairste doelwiten, beide met 11,4 procent.
- Avaddon is nummer vijf en gebruikt vooral spamcampagnes om bedrijven te infecteren. De overheid is in het bijzonder het doelwit, namelijk één op de acht keer.
- RagnarLocker weet door malware in een virtual machine te deployen, plek zes in te nemen. In april 2020 betaalde een onbekend bedrijf 11 miljoen dollar (9 miljoen euro) na een aanval. De productiesector (22,7 procent) is het populairste doelwit.
- DarkSide is de laatste dagen veel in het nieuws door een aanval op een oliepijplijn in Amerika, maar stond vorig jaar al op plek zeven. DarkSide richt zich het meest op services (16,7 procent).
Onlangs schreven we over onderzoek van Palo Alto Networks, dat eveneens over de worsteling van cruciale industrieën met security-incidenten ging. Veel sectoren blijken dus moeite te hebben met de aanvallen.
9 uur geleden
