De ransomware-industrie groeide in 2023 met een alarmerende stijging van 55,5% in het aantal slachtoffers wereldwijd, tot een duizelingwekkende 5.070. Maar 2024 begint een heel ander beeld te laten zien. Terwijl de aantallen in het vierde kwartaal van 2023 omhoog schoten met 1.309 gevallen, was de ransomware-industrie in het eerste kwartaal van 2024 gedaald tot 1.048 gevallen. Dit is een afname van 22% in ransomware-aanvallen vergeleken met het vierde kwartaal van 2023.
Er kunnen verschillende redenen zijn voor deze aanzienlijke daling.
Reden 1: De wetshandhavingsinterventie
Ten eerste heeft de wetshandhaving in 2024 de lat hoger gelegd met acties tegen zowel LockBit als ALPHV.
De LockBit-arrestaties
In februari culmineerde een internationale operatie genaamd “Operatie Cronos” in de arrestatie van ten minste drie medewerkers van het beruchte LockBit-ransomwaresyndicaat in Polen en Oekraïne.
Wetshandhavers uit meerdere landen werkten samen om de infrastructuur van LockBit neer te halen. Dit omvatte onder meer het in beslag nemen van hun dark web-domeinen en het verkrijgen van toegang tot hun backend-systemen. De autoriteiten hebben cryptocurrency-accounts in beslag genomen en decoderingssleutels verkregen om slachtoffers te helpen gegevens te herstellen. Ze gebruikten ook de eigen website van Lockbit om interne gegevens over de groep zelf vrij te geven.
De Oekraïense cyberpolitie maakte bekend dat ze een ‘vader en zoon’-duo hadden aangehouden dat naar verluidt verbonden was aan LockBit, wiens activiteiten naar verluidt gevolgen hadden voor individuen, bedrijven, overheidsinstanties en gezondheidszorginstellingen in Frankrijk.
Tijdens huiszoekingen in de woningen van de verdachten in Ternopil, Oekraïne, heeft de politie mobiele telefoons en computerapparatuur in beslag genomen die vermoedelijk bij cyberaanvallen zijn gebruikt.
In Polen arresteerden de autoriteiten in Warschau een 38-jarige persoon, verdacht van banden met LockBit. Hij werd voor het parket gebracht en beschuldigd van strafbare feiten.
LockBit dook echter binnen een week opnieuw op en benadrukte de aanhoudende uitdagingen van de bestrijding van cybercriminaliteit.
Ze brachten een verklaring uit over Tox.
“Je kunt PHP gebruiken, je kunt PHP niet gebruiken”
“De FBI heeft servers bijgewerkt die PHP gebruiken, back-upservers zonder PHP worden niet getroffen”
Kort daarna zette de groep zijn wereldwijde aanval op organisaties voort en handhaafde hij zijn positie als dominante kracht op het gebied van ransomware-operaties. Deze veerkracht onderstreept de formidabele macht en capaciteiten van de groep, evenals de robuuste veiligheidsmaatregelen rond haar activiteiten die haar blijvende levensvatbaarheid en potentieel veelbelovende toekomst garanderen, zoals blijkt uit de kwartaaltrends van de afgelopen jaren.
De impact van de ALPHV-takedown
Als grote klap voor de ransomware-industrie maakte de FBI op 19 december 2023 bekend dat ze de ransomwaregroep ALPHV/BlackCat hadden ontwricht. Deze verwijdering volgde op een vijfdaagse storing van de darkweb-infrastructuur van de groep, die begon op 8 december. De FBI nam de controle over een van de belangrijkste sites van ALPHV over en verving deze door hun kenmerkende banner. Deze actie, samen met de ontwikkeling van een decoderingstool om slachtoffers te helpen, betekent een aanzienlijke overwinning voor de wetshandhaving in de strijd tegen ransomware.
In het eerste kwartaal van 2024 zat ALPHV achter 51 ransomware-aanvallen, een aanzienlijke daling ten opzichte van de 109 aanvallen in het vierde kwartaal van 2023. Hoewel de groep in 2024 nog steeds actief is, had de verwijdering van de FBI duidelijk een aanzienlijke impact.
Reden 2: De afname van losgeldbetalingen
De daling van het losgeld zou ransomware-groepen er ook toe kunnen aanzetten met pensioen te gaan en alternatieve inkomstenbronnen te zoeken.
In het laatste kwartaal van 2023 kelderde het aandeel ransomware-slachtoffers dat aan de losgeldeisen voldeed naar een historisch dieptepunt van 29%, zo blijkt uit gegevens van ransomware-onderhandelingsbedrijf Coveware.
Coveware schrijft deze voortdurende achteruitgang toe aan verschillende factoren, waaronder een grotere paraatheid bij organisaties, scepsis ten aanzien van de garanties van cybercriminelen om gestolen gegevens niet openbaar te maken, en juridische beperkingen in regio's waar losgeldbetalingen verboden zijn.
Er is niet alleen sprake van een afname van het aantal ransomware-slachtoffers dat betalingen verricht, maar er is ook een opmerkelijke daling van de geldwaarde van dergelijke betalingen.
Coveware merkt op dat in het vierde kwartaal van 2023 de gemiddelde losgeldbetaling $568.705 bedroeg, een daling van 33% ten opzichte van het voorgaande kwartaal, waarbij de gemiddelde losgeldbetaling $200.000 bedroeg.
Er ontstaan nieuwe groepen, maar die zijn nog niet klaar voor de daling
Ondanks de daling van een aantal aanvallen van Q4 2023 naar Q1 2024 en ondanks de lagere winstgevendheid, ontstonden er in Q1 veel nieuwe ransomwaregroepen. Nieuwe groepen zijn onder meer:
- RansomHub – identificeert zichzelf als een wereldwijd team van hackers die voornamelijk gemotiveerd zijn door financieel gewin.
- Trisec – die openlijk afwijkt van conventionele ransomware-groepen door zich openlijk aan te sluiten bij een natiestaat.
- Slug – die de verantwoordelijkheid opeist voor het infiltreren en targeten van AerCap
- Mydata – met een dataleksite waarop verschillende prominente bedrijven worden genoemd, waaronder de Accolade Group, Gadot Biochemical Industries en meer.
Cyberint verwacht dat verschillende van deze nieuwere groepen hun capaciteiten zullen vergroten en zich zullen ontwikkelen tot dominante spelers in de industrie, naast ervaren groepen als LockBit 3.0, Cl0p en BlackBasta.
Lees het 2023 Ransomware Report van Cyberint voor meer opkomende groepen, de belangrijkste doelgroepen en landen, een overzicht van de top 3 ransomware-groepen die actief zijn in het eerste kwartaal van 2024, opmerkelijke trends en incidenten voor 2024 en meer.
Lees het rapport.
