Ransomware jaaroverzicht 2021

Gepubliceerd op 31 december 2021 om 07:00

Ransomware zorgde in 2021 voor lege kaasschappen, naar huis gestuurd personeel en grote hoeveelheden gestolen persoonsgegevens. Ook in 2021 werden Nederlandse bedrijven, onderwijsinstellingen en andere organisaties geregeld het slachtoffer van ransomware. Een terugblik op een jaar vol ransomware-aanvallen. Daarnaast nemen we de grootste ransomware-aanvallen in het buitenland onder de loep, alsmede gebruikte aanvalsmethodes en reacties op de dreiging van ransomware.

Ransomware weer toegenomen

De afgelopen jaren deden zich verschillende grote ransomware-aanvallen in Nederland voor, zoals de aanval op de Universiteit Maastricht, de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), de gemeente Hof van Twente, uitzendbureau Randstad, de Gelderse veiligheidsregio, Apollo Vredestein, onderzoeksinstituut Wetsus en GWK Travelex, en de lijst is dit jaar weer een stuk langer geworden.


Januari

Cyberaanvallen nieuws overzichten per week

Week 1 | Week 2 | Week 3 | Week 4


Februari

Cyberaanvallen nieuws overzichten per week

Week 5 | Week 6 | Week 7 | Week 8


Maart

Cyberaanvallen nieuws overzichten per week

Week 9 | Week 10 | Week 11 | Week 12


April

Cyberaanvallen nieuws overzichten per week

Week 13 | Week 14 | Week 15 | Week 16 |Week 17


Mei

Cyberaanvallen nieuws overzichten per week

Week 18 | Week 19 | Week 20 | Week 21


Juni

  • De Nationaal Coördinator Terrorismebestrijding (NCTV) noemt ransomware in het Cybersecuritybeeld Nederland 2021 een risico voor de nationale veiligheid van Nederland.
  • Keukenbedrijf Mandemakers wordt getroffen door een ransomware-aanval waardoor showrooms telefonisch onbereikbaar zijn en leveringen tijdelijk worden opgeschort.

Cyberaanvallen nieuws overzichten per week

Week 22 | Week 23 | Week 24 | Week 25 | Week 26


Juli

Cyberaanvallen nieuws overzichten per week

Week 27 | Week 28 | Week 29 | Week 30


Augustus

  • Drie securitybedrijven luiden de noodklok over het aantal ransomware-incidenten in Nederland en vinden dat de overheid meer actie moet ondernemen.
  • Scholengemeenschap ROC Mondriaan wordt het slachtoffer van een ransomware-aanval. De onderwijsinstelling betaalt geen losgeld. De aanvallers publiceren gestolen gegevens op internet.

Cyberaanvallen nieuws overzichten per week

Week 31 | Week 32 | Week 33 | Week 34


September

  • RTL Nederland wordt getroffen door een ransomware-aanval. Belangrijke systemen worden met ransomware geïnfecteerd, zoals het redactiesysteem van RTL Nieuws en het advertentieplanningssysteem. De aanvaller wist binnen te komen door de inloggegevens van een externe beheerpartij die waren buitgemaakt. RTL betaalt het losgeld.
  • Zorggroep Charim in Veenendaal wordt getroffen door een ransomware-aanval waarbij allerlei bestanden worden versleuteld.
  • Het Beverwijkse uitzendbureau IJmond Werkt! is slachtoffer van een ransomware-aanval geworden, waarbij de aanvallers gestolen data mogelijk op internet hebben gepubliceerd.
  • Het systeem waar zo'n 130 Nederlandse boekhandels gebruik van maken wordt platgelegd door ransomware, waardoor medewerkers alles handmatig moeten bijhouden.

Cyberaanvallen nieuws overzichten per week

Week 35 | Week 36 | Week 37 | Week 38 | Week 39


Oktober

  • Het Nederlandse industrieconcern VDL Group wordt getroffen door een omvangrijke cyberaanval die merkbaar is bij alle 105 bedrijven van het concern. Bij VDL Nedcar wordt een deel van het personeel noodgedwongen naar huis gestuurd. VDL wil niet laten weten of het om een ransomware-aanval gaat, maar weet systemen een maand na de aanval via back-ups te herstellen.

Cyberaanvallen nieuws overzichten per week

Week 40 | Week 41 | Week 42 | Week 43


November

  • Europese vestigingen van elektronicaketen MediaMarkt in onder andere België, Duitsland en Nederland worden getroffen door de Hive-ransomware.

Cyberaanvallen nieuws overzichten per week

Week 44 & 45 | Week 46 | Week 47


December

Cyberaanvallen nieuws overzichten per week

Week 48 | Week 49 | Week 50 | Week 51


Grootste ransomware aanvallen in het buitenland

Niet alleen in Nederland, wereldwijd werden organisaties en bedrijven dit jaar het slachtoffer van ransomware. Soms met grote gevolgen. Hieronder een aantal van de grootste incidenten van dit jaar.

  • Bij de aanval op de Colonial Pipeline Company werd de grootste brandstofpijplijn van de Verenigde Staten platgelegd, wat onder andere voor brandstoftekorten in het land zorgde. Het bedrijf betaalde 4,4 miljoen dollar losgeld, waarvan het grootste deel door de FBI werd teruggehaald. Daarnaast zorgde de aanval ervoor dat de aanpak van ransomware hoog op de Amerikaanse politieke agenda terechtkwam en de Amerikaanse president Biden dit onder andere met de Russische president Putin besprak.
  • JBS, de grootste vleesverwerker ter wereld, werd eind mei slachtoffer van een ransomware-aanval, waardoor het tijdelijk alle slachterijen in Australië moest sluiten, alsmede alle fabrieken in de VS die rundvlees verwerken. Het bedrijf betaalde de aanvallers 11 miljoen dollar losgeld.
  • De Ierse gezondheidszorg Health Service Executive (HSE) moest alle systemen na een ransomware-aanval uitschakelen wat tot het annuleren van afspraken met patiënten leidde. De aanvallers wisten via een malafide e-mailbijlage toegang tot de systemen te krijgen. In juni liet de directeur van de HSE weten dat de aanval de Ierse gezondheidszorg al 100 miljoen euro had gekost.
  • Op vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval waarbij de aanvallers gebruikmaakten van een kwetsbaarheid in de VSA-software van Kaseya. Managed serviceproviders gebruiken deze software om de systemen van hun klanten te beheren. De aanvallers gebruikten de VSA-kwetsbaarheid om ransomware bij deze klanten te installeren.

Tot zestig serviceproviders en tot vijftienhonderd van hun klanten werden op deze manier aangevallen. De aanvallers eisten 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. Uiteindelijk wist de FBI de decryptiesleutel in handen te krijgen en deelde die met Kaseya, waardoor alle klanten weer toegang tot hun gegevens konden krijgen.


Ransomware cyberaanvallen

Een kenmerk van organisaties die laten weten dat ze door ransomware zijn getroffen is dat zelden de gebruikte aanvalsvector bekend wordt gemaakt. Als er al melding wordt gedaan gaan de verklaringen vaak over een "it-storing", "cyberincident" of "cyberaanval". Soms wordt er later aangegeven dat het om ransomware gaat. Verdere details blijven meestal achterwege.

De Universiteit van Maastricht, de gemeente Hof van Twente en de Universiteit van Amsterdam (UvA) waren in dat opzicht positieve uitzonderingen, aangezien ze in detail lieten weten hoe de aanvallers te werk waren gegaan. In het geval van de Ierse gezondheidszorg werd het onderzoek naar de aanval openbaar gemaakt.

De werkwijze van ransomwaregroepen volgt vaak een vrij standaard patroon waarbij er eerst toegang tot een systeem moet worden verkregen. In de praktijk gaat het meestal om misbruik van het remote desktop protocol (RDP), bijvoorbeeld via bruteforce-aanvallen of het gebruik van gestolen inloggegevens, phishingmails en misbruik van bekende kwetsbaarheden die niet door de aangevallen organisatie zijn gepatcht. De FBI liet onlangs nog weten dat phishing en bruteforce-aanvallen op RDP-endpoints de meestgebruikte methodes zijn.

Ransomware - Coveware CCINL
Afbeelding – 1,9 MB 245 downloads

Zodra de aanvallers toegang tot een systeem hebben gekregen proberen ze hun rechten te verhogen, met als uiteindelijk doel domeinbeheerder te worden. Vaak wordt ook de aanwezige antivirussoftware centraal uitgeschakeld, waarna de uitrol van de ransomware plaatsvindt. Dat aanvallers een vast proces volgen bleek wel uit de gelekte handleidingen van de Conti-ransomwaregroep die op internet verschenen.

Dreiging en publicatie op darkweb

Dit jaar kende ook een toename van het aantal ransomwaregroepen dat eerst data van de aangevallen organisatie steelt. Wanneer het slachtoffer het losgeld niet betaalt dreigen de aanvallers de gestolen gegevens te publiceren. Sommige groepen houden zich inmiddels alleen bezig met het stelen van data en afpersen van slachtoffers.

Hoewel de gebruikte aanvalsmethodes en oplossingen hiervoor bekend zijn, is het de verwachting dat ransomware-aanvallen ook in 2022 weer aan de orde van de dag zullen zijn. Zo waarschuwden meerdere experts dat de recent ontdekte Log4j-kwetsbaarheid bij ransomware-aanvallen zal worden ingezet, wat inmiddels ook is gebeurd.

Dreiging van ransomware nog niet voorbij

Het Nationaal Cyber Security Centrum verwacht ook dat de dreiging van ransomware nog niet voorbij is. "Vanwege het succesvolle verdienmodel van ransomware de afgelopen periode is de verwachting dat ransomware verder zal evolueren. Dit houdt in dat er nieuwe aanvalsscenario’s verwacht worden en dat de ransomware tools ook steeds geraffineerder worden", aldus de overheidsinstantie in de laatste gepubliceerde Trendlijst.

Bron: anoniem, diverse bronnen, security.nl

Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.