Uit 80 miljoen wereldwijd verzamelde malware samples blijkt dat er ruim 130 verschillende zogeheten ransomware families actief zijn. Dit blijkt uit een analyse over de cijfers 2020-2021 van cybersecurity initiatief 'VirusTotal' in opdracht van zoekgigant 'Google'. De meest getroffen landen in deze periode zijn onder andere Israël, Zuid-Korea, Vietnam, China en Singapore.

Ransomware families

Een ransomware familie omvat alle ransomware, software die gegevens gijzelt voor geld, die afgeleid zijn van een (vaak) bekende technische werkwijze. Deze werkwijze wordt vervolgens vernoemd naar de groep die het ontwikkeld heeft. De meest veelvoorkomende ransomware families zijn volgens deze analyse gebaseerd op de GandCrab (78.5%), Babuk (7.61%) en Cerber (3.11%) ransomware.

Ransomware samples

Het onderzoek van VirusTotal is gebaseerd op ingestuurde ransomware samples uit 140 verschillende landen. Deze landen hebben gezamenlijk 80 miljoen samples ingediend, waarvan er ruim 1 miljoen door meerdere bronnen als ransomware zijn geïdentificeerd.

De analyse wijst uit dat er 130 ransomware families actief zijn die elkaar afwisselen in mate van populariteit. Hoe meer clusters er binnen een familie actief zijn, hoe breder de diversiteit van de gebruikte malware die op deze familie gebaseerd is. Ook gebruiken aanvallers uiteenlopende technieken, zoals botnet malware en Remote Access Trojans (RATs) om de ransomware bij hun doelwit te krijgen.

De meest veelvoorkomende ransomware familie is GandCrab (78.5%), op gepaste afstand gevolgd door Babuk, Cerber, Matsnu, Wannacry, Congur, Locky, Teslacrypt, Rkor, en Reveon. Ruim 95% van de geanalyseerde ransomware bestanden waren op Windows gericht, tegen slechts 2% voor Android

De top twee families zijn oververtegenwoordigd omdat er tijdens de meetperiode grote aanvallen op basis van deze ransomware hebben plaatsgevonden. Zo was er een grote piek van GandCrab aanvallen in de eerste helft van 2020. Het gebruik van deze familie zakte hierna snel in. Een reden voor de brede inzet is dat de GandCrab ransomware als onderdeel van Ransomware-as-a-Service (RaaS) diensten wordt verkocht. GandCrab wordt op deze manier door veel criminele groepen op verschillende manieren ingezet en daarmee ook vaker teruggevonden bij analyse.

Landen onder zwaar vuur

Uit de analyse van VirusTotal blijkt verder dat van de 140 landen, de volgende landen het meeste last lijken te hebben van ransomware aanvallen: Israël, Zuid-Korea, Vietnam, China, Singapore, India, Kazakhstan, de Filipijnen, Iran, en het Verenigd Koninkrijk. Met name Israël springt er tussenuit, met ruim 600% meer ingediende samples dan normaal.

Laag risico hoge beloning

Ransomware is een 'low-risk, high reward' strategie die zowel door grote als kleine groepen criminelen kunnen worden ingezet. VirusTotal is dan ook van mening dat er regelmatig constant grote, opvallende ransomware campagnes zullen opduiken. Tegelijkertijd is er een constante stroom kleinere aanvallen die zelden stil ligt.

Een overzicht van de huidige aanvallen waarbij er data gelekt wordt op het darkweb kun je hier vinden. Het lekken van data door de cybercriminelen heeft twee redenen:

Putting pressure: Druk zetten bij het slachtoffer zodat ze overgaan tot betaling voor alle data gepubliceerd wordt
Punish: Als je niet betaald wordt alle data online gezet en kunnen hackers hun gang gaan om vervolgens nieuwe slachtoffers te maken, mogelijk klanten, partners of medewerkers