Ransomware is de afgelopen jaren een van de grootste bedreigingen voor cybersecurity geworden, en in 2023 heeft deze dreiging een nieuw hoogtepunt bereikt. Het aantal ransomware-aanvallen wereldwijd steeg met maar liefst 73% ten opzichte van 2022. Deze explosieve toename toont niet alleen de groeiende dreiging van cybercriminaliteit, maar ook de ernst van de situatie voor bedrijven en overheden wereldwijd. Dit artikel biedt een overzicht van de belangrijkste cijfers en trends, wie achter deze aanvallen zit en wat de grootste doelwitten zijn. Ook geven we praktische tips om je beter te beschermen tegen deze meedogenloze aanvallen.
De explosieve toename van ransomware-aanvallen in 2023
In 2023 werden wereldwijd 6.670 ransomware-aanvallen geregistreerd, een stijging van 73% ten opzichte van het voorgaande jaar. Dit enorme aantal komt voort uit diverse factoren, waaronder de verfijning van aanvallen en de opkomst van nieuwe kwetsbaarheden. De ransomware Task Force (RTF) stelde vast dat deze toename grotendeels te wijten is aan de activiteiten van beruchte ransomware-groepen zoals CL0P en LockBit.
De wereldwijde verspreiding van ransomware toont aan dat geen enkele regio immuun is. Volgens gegevens uit verschillende bronnen waren de Verenigde Staten het zwaarst getroffen, maar ook landen in Europa en Azië zagen een aanzienlijke toename van incidenten. In Nederland werden in 2023 bijvoorbeeld 120 ransomware-aanvallen geregistreerd, waarbij vooral middelgrote en grote ondernemingen slachtoffer werden.
Het is belangrijk om te begrijpen dat deze aanvallen niet langer een kwestie zijn van enkele criminelen die kleine bedrijven aanvallen. In plaats daarvan richten cybercriminelen zich steeds vaker op "big game hunting", waarbij grote organisaties en overheden het doelwit zijn. Dit maakt ransomware een enorme bedreiging voor de kritieke infrastructuur en bedrijfsvoering wereldwijd.
De ransomware-groepen achter de aanvallen: CL0P en LockBit
Een van de grootste drijfveren achter de stijging van ransomware-aanvallen in 2023 is de opkomst en activiteiten van ransomware-groepen zoals CL0P en LockBit. Deze groepen opereren volgens het zogenaamde "Ransomware-as-a-Service" (RaaS) model, waarbij ze tools en infrastructuur aanbieden aan andere cybercriminelen om ransomware-aanvallen uit te voeren. Dit model heeft ransomware toegankelijker gemaakt voor minder technisch onderlegde criminelen, wat heeft bijgedragen aan de explosieve groei van incidenten.
De CL0P-groep was in 2023 verantwoordelijk voor enkele van de meest opvallende aanvallen, waaronder de exploitatie van de MOVEit-kwetsbaarheid. Deze aanval leidde tot de diefstal van de gegevens van bijna 96 miljoen mensen verspreid over 2.700 organisaties. Door misbruik te maken van een kwetsbaarheid in MOVEit Transfer, een veelgebruikte software voor bestandsuitwisseling, kon CL0P grote hoeveelheden gevoelige informatie exfiltreren. Dit markeerde een van de grootste datadiefstallen in de geschiedenis en toont de schaal en ambitie van deze criminele organisatie.
Aan de andere kant staat LockBit, die zijn positie als de meest actieve ransomware-groep in 2023 heeft behouden. Waar CL0P zich vooral concentreerde op één grote aanval, was LockBit consistent actief gedurende het hele jaar. Een van de meest prominente aanvallen van LockBit vond plaats in het Verenigd Koninkrijk, waar het bedrijf Royal Mail werd getroffen. Deze aanval veroorzaakte grote verstoringen in de postbezorging en leidde tot miljoenen pond aan schade.
De consistentie van LockBit en de grootschaligheid van CL0P illustreren hoe gevarieerd de tactieken van ransomware-groepen kunnen zijn, terwijl ze allemaal gericht zijn op één doel: maximale winst genereren door losgeld te eisen van kwetsbare organisaties.
De sectoren die het meest kwetsbaar zijn voor ransomware
Hoewel geen enkele sector immuun is voor ransomware-aanvallen, zijn bepaalde sectoren veel zwaarder getroffen dan andere. Uit de gegevens van 2023 blijkt dat de bouwsector, gezondheidszorg en IT-diensten de meest getroffen sectoren zijn. De reden dat juist deze sectoren zo vaak het doelwit zijn, heeft te maken met hun afhankelijkheid van kritieke systemen en de vaak gevoelige aard van hun gegevens.
De gezondheidszorgsector staat bovenaan de lijst met slachtoffers van ransomware. Dit komt omdat ziekenhuizen en medische instellingen vaak niet de tijd hebben om hun systemen lange tijd offline te houden. De gevolgen van een ransomware-aanval op een ziekenhuis kunnen desastreus zijn, zowel financieel als voor de patiëntenzorg. In 2023 vonden er wereldwijd 177 ransomware-aanvallen plaats op zorginstellingen, bijna een verdubbeling ten opzichte van 2022. De gemiddelde kosten voor het herstel van een ziekenhuis na een aanval bedragen nu $2,2 miljoen, een enorme financiële last die veel instellingen simpelweg niet kunnen dragen.
De bouwsector en IT-diensten zijn ook zwaar getroffen, vooral omdat hun systemen cruciaal zijn voor de dagelijkse bedrijfsvoering. Het stilleggen van bouwprojecten of IT-netwerken kan miljoenen aan schade veroorzaken, wat bedrijven vaak dwingt om losgeld te betalen om hun gegevens snel terug te krijgen. Dit maakt deze sectoren aantrekkelijke doelen voor cybercriminelen.
Wat opvalt is dat ondanks de toenemende diversificatie van doelwitten, de belangrijkste getroffen sectoren van 2022 in 2023 grotendeels onveranderd bleven. Dit suggereert dat ransomware-groepen zich nog steeds richten op industrieën waar ze maximale verstoring en winst kunnen behalen.
Hoe organisaties zich kunnen beschermen tegen ransomware
Met de toename van ransomware-aanvallen is het cruciaal dat organisaties proactieve maatregelen nemen om zichzelf te beschermen. Hoewel ransomware een zeer geavanceerde dreiging kan lijken, zijn er verschillende stappen die bedrijven kunnen nemen om het risico op een aanval te verkleinen.
-
Regelmatig Back-ups Maken: Zorg ervoor dat er regelmatig back-ups worden gemaakt van alle kritieke systemen en gegevens. Dit is de eerste en belangrijkste verdedigingslinie tegen ransomware. Als een bedrijf over recente back-ups beschikt, kan het na een aanval snel herstellen zonder losgeld te betalen.
-
Multifactor Authenticatie (MFA): Door MFA in te stellen voor toegang tot belangrijke systemen, kunnen organisaties voorkomen dat aanvallers zich met gestolen inloggegevens toegang verschaffen tot hun netwerken.
-
Patch Beheer: Een groot aantal ransomware-aanvallen maakt misbruik van bekende kwetsbaarheden in software. Door systemen up-to-date te houden en patches snel te installeren, kunnen bedrijven het aantal potentiële toegangspunten voor aanvallers drastisch verminderen.
-
Bewustwordingstrainingen voor Medewerkers: Veel ransomware-aanvallen beginnen met phishing-e-mails die werknemers verleiden om schadelijke bijlagen te openen of op kwaadaardige links te klikken. Door regelmatig cybersecurity-trainingen te geven, kunnen bedrijven het bewustzijn van medewerkers vergroten en hen leren verdachte activiteiten te herkennen.
-
Incident Response Plan: Zorg dat er een gedetailleerd plan klaar ligt voor het geval een aanval plaatsvindt. Dit plan moet duidelijk beschrijven welke stappen moeten worden ondernomen om de schade te beperken en het herstelproces te versnellen.
Hoewel geen enkele maatregel ransomware-aanvallen volledig kan voorkomen, kan een combinatie van deze tactieken de impact aanzienlijk beperken en bedrijven in staat stellen sneller te herstellen zonder afhankelijk te zijn van losgeldbetalingen.
Begrippenlijst: sleutelwoorden uitgelegd
- Ransomware: Schadelijke software die de toegang tot systemen of gegevens blokkeert totdat er losgeld is betaald.
- CL0P: Een Russische ransomware-groep die verantwoordelijk is voor enkele van de grootste aanvallen in 2023, waaronder de exploitatie van de MOVEit-kwetsbaarheid.
- LockBit: Een ransomware-groep die Ransomware-as-a-Service aanbiedt en wereldwijd actief is.
- MOVEit-kwetsbaarheid: Een beveiligingslek in de MOVEit-software voor bestandsuitwisseling, gebruikt door CL0P om gegevens van miljoenen mensen te stelen.
- Ransomware-as-a-Service (RaaS): Een model waarbij ransomware-groepen hun software en infrastructuur verhuren aan andere criminelen om aanvallen uit te voeren.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.