Top 3 ransomware -bedreigingen actief in 2025

Cyberbeveiliging
Top 3 ransomware -bedreigingen actief in 2025

U komt aan op kantoor, stroomt uw systeem op en paniek gaat in. Elk bestand is vergrendeld en elk systeem is bevroren. Een losgeldvraag flitst op uw scherm: “Betaal $ 2 miljoen aan Bitcoin binnen 48 uur of verlies alles.”

En het ergste is dat zelfs na het betalen, er geen garantie is dat u uw gegevens terugkrijgt. Veel slachtoffers overhandigen het geld, alleen om niets voor terug te ontvangen, of erger nog, worden opnieuw geraakt.

Dit is geen zeldzaam geval. Ransomware -aanvallen zijn verlammende bedrijven wereldwijd, van ziekenhuizen en banken tot kleine bedrijven. De enige manier om de schade te stoppen is door proactief verdachte bestanden en links te analyseren voordat ze kunnen worden uitgevoerd.

Hieronder breken we de top drie ransomware -families die actief zijn in 2025: Lockbit, Lynx en Virlock en ontdekken we hoe interactieve analyse bedrijven helpt ze te detecteren en te stoppen voordat het te laat is.

Lockbit: plaagt een comeback in 2025

Lockbit is een van de meest beruchte ransomware -groepen, bekend om zijn zeer efficiënte codering, dubbele afpersingstactieken en het vermogen om traditionele beveiligingsmaatregelen te ontwijken. Opererend onder een ransomware-as-a-service (RAAS) -model, stelt gelieerde ondernemingen in staat om de malware te verspreiden, wat leidt tot wijdverbreide aanvallen in verschillende industrieën.

Laatste aanvallen en activiteiten:

  • London Drugs (mei 2024): Lockbit gericht op de Canadese retailer London Drugs, waardoor de sluiting van al zijn locaties in Canada werd gesloten. Hackers eisten $ 25 miljoen en lekten wat werknemersgegevens nadat het bedrijf weigerde te betalen.
  • Universitair Ziekenhuiscentrum, Zagreb (juni 2024): Verstoord het grootste ziekenhuis van Kroatië, waardoor personeel wordt gedwongen terug te keren naar handmatige operaties, terwijl aanvallers beweerden geëxfiltreerde medische dossiers te hebben.
  • Evolve Bank & Trust (juni 2024): Gebreide gevoelige financiële gegevens, waarbij hackers valselijk beweren dat ze Federal Reserve -informatie hebben. De aanval bracht bezorgdheid uit vanwege de banden van Evolve met grote fintech -bedrijven.

Lockbit -monster:

Laten we een lockbit -ransomware -monster binnen elke.run’s beveiligde sandbox van dichterbij bekijken om het belangrijkste gedrag te ontdekken.

Bekijk analysesessie

In de interactieve sandbox zien we het eerste dat opvalt: bestandspictogrammen die veranderen naar het Lockbit -logo. Dit is een onmiddellijk teken van ransomware -infectie.

Ontdek ransomware-tactieken in realtime en voorkom dure inbreuken voordat ze plaatsvinden.

Probeer alles. Run gratis gedurende 14 dagen

Dit wordt gevolgd door een losgeldnotitie in de zandbak, waarin staat dat uw bestanden zijn gestolen en gecodeerd. Het bericht is duidelijk: betaal het losgeld of de gegevens worden gepubliceerd op een TOR -website.

Aan de rechterkant van het scherm zien we een gedetailleerde uitsplitsing van elke proces Lockbit die wordt uitgevoerd om het systeem aan te vallen.

Door op elk proces te klikken, kunnen beveiligingsteams de exacte tactieken analyseren die in de aanval worden gebruikt.

Dit type analyse is belangrijk voor bedrijven, omdat het hen in staat stelt te begrijpen hoe ransomware zich verspreidt, zwakke punten in hun beveiliging te identificeren en proactieve stappen te ondernemen om vergelijkbare bedreigingen te blokkeren voordat ze financiële en operationele schade veroorzaken.

Voor een meer diepgaande uitsplitsing van de aanvalstactieken, kunt u ook klikken op de ATT & CK-knop in de rechterbovenhoek van de sandbox. Dit biedt gedetailleerde inzichten in elke tactiek, waardoor teams hun verdedigingswerken verfijnen en de responsstrategieën versterken.

In dit geval zien we Lockbit met behulp van verschillende gevaarlijke technieken:

  • Hogere privileges verkrijgen door beveiligingscontroles te omzeilen.
  • Opgeslagen referenties uit het extraheren van bestanden en webbrowsers.
  • Het systeem scannen om informatie te verzamelen voordat u bestanden codert.
  • Gegevens coderen om kritieke bedrijfsactiviteiten te vergrendelen.

Nieuwe aanvalswaarschuwing in 2025:

Ondanks de acties van wetshandhaving blijft Lockbit een belangrijke bedreiging vormen voor 2025. De vermeende leider van de groep, bekend als Lockbitsupp, heeft gewaarschuwd voor nieuwe ransomware -aanvallen die in februari worden gelanceerd. Dit betekent dat bedrijven het zich niet kunnen veroorloven om hun wacht te laten gaan.

Lynx: De stijgende bedreiging voor kleine en middelgrote bedrijven

Lynx is een relatief nieuwe ransomware-groep die medio 2024 opdook en snel een reputatie heeft opgebouwd voor zijn zeer agressieve aanpak. In tegenstelling tot grotere ransomware-bendes die zich richten op zakelijke reuzen, gaat Lynx opzettelijk achter kleine en middelgrote bedrijven aan in Noord-Amerika en Europa en profiteert van zwakkere beveiligingsmaatregelen.

Hun strategie is gebaseerd op dubbele afpersing. Ze coderen niet alleen bestanden, maar dreigen ook gestolen gegevens te lekken op zowel openbare websites als donkere webforums als slachtoffers weigeren te betalen. Dit dwingt bedrijven in een onmogelijke keuze: betaal het losgeld of risico om vertrouwelijke gegevens, financiële details en online klantdossiers te hebben die online worden blootgesteld.

Laatste Lynx -aanval:

Medio januari 2025 trok Lynx zich op Lowe Engineers, een prominent civiele techniekbedrijf gevestigd in Atlanta, Georgia. De aanval leidde tot de exfiltratie van gevoelige gegevens, inclusief vertrouwelijke projectinformatie en klantgegevens. Gezien de betrokkenheid van het bedrijf bij kritieke infrastructuurprojecten, bracht deze inbreuk grote zorgen uit over mogelijke effecten op federale en gemeentelijke contracten.

Lynx monster:

Dankzij elke.run’s interactieve sandbox kunnen we de volledige aanvalsketen van lynx ransomware analyseren in een gecontroleerde virtuele omgeving, zonder echte systemen te riskeren.

Bekijk Sandbox -analyse van Lynx

Op het moment dat we het kwaadaardige uitvoerbare bestand uploaden en starten in de cloudgebaseerde sandbox van Any.run, begint de ransomware onmiddellijk bestanden te coderen en verandert hun extensies in .lynx.

Kort daarna verschijnt er een losgeldnotitie en wordt het bureaubladbehang vervangen door een afpersingsbericht dat slachtoffers naar een Tor -site leidt, waar aanvallers betaling eisen.

Binnen de sandbox van Any.run kunnen we de door Lynx laten vallen handmatig openen om het losgeldboodschap precies te bekijken zoals een slachtoffer zou doen.

In het gedeelte Mitre Att & CK krijgen we een duidelijke uitsplitsing van de tactiek en technieken van Lynx, wat onthullen hoe het werkt:

  • Bestanden coderen om kritieke bedrijfsgegevens te vergrendelen.
  • Het hernoemen van bestanden om andere ransomware -stammen na te bootsen.
  • Het register opvragen om te scannen op systeemdetails en beveiligingssoftware.
  • CPU -informatie lezen om de doelomgeving te beoordelen.
  • Softwarebeleid controleren om de beveiligingsinstellingen te bepalen voordat u verder gaat.

Virlock: een zelfreplicerende ransomware die niet zal sterven

Virlock is een unieke ransomware -stam die voor het eerst opkwam in 2014. In tegenstelling tot typische ransomware codeert Virlock niet alleen bestanden, maar infecteert ze ook en verandert ze van elk in een polymorfe bestandsinfector. Met deze dubbele mogelijkheid kan het zich snel verspreiden, vooral via cloudopslag- en samenwerkingsplatforms.

Recente aanvallen:

In recente analyses is Virlock waargenomen dat ze heimelijk verspreid is via cloudopslag- en samenwerkings -apps. Wanneer het systeem van een gebruiker is geïnfecteerd, codeert en infecteert Virlock -bestanden, die vervolgens worden gesynchroniseerd met gedeelde cloudomgevingen.

Medewerkers die toegang hebben tot deze gedeelde bestanden, voeren onbedoeld de geïnfecteerde bestanden uit, wat leidt tot verder verspreiding binnen de organisatie.

Virlock -voorbeeld:

Laten we het gedrag van Virlock analyseren met behulp van een realtime monster in elke Sandbox van Run.

Bekijk sandbox -analyse van Virlock

Net als Lockbit en Lynx laat Virlock een losgeld noot vallen bij uitvoering. Deze keer vereist het echter betaling in Bitcoin, een gemeenschappelijke tactiek onder ransomware -operators.

In dit specifieke voorbeeld vraagt ​​Virlock om het equivalent van $ 250 in Bitcoin, waardoor het dreigt bestanden permanent te verwijderen als het losgeld niet wordt betaald.

Interessant is dat de losgeld niet alleen betaling vereist. Het bevat ook een gids over bitcoin, waarin wordt uitgelegd wat het is en hoe slachtoffers het kunnen verwerven voor betaling.

Tijdens de uitvoering detecteert Any.Run verschillende kwaadaardige activiteiten en onthult hoe Virlock werkt:

  • Een virlock-specifieke mutex wordt geïdentificeerd, waardoor de malware wordt geholpen dat slechts één exemplaar tegelijk werkt om interferentie te voorkomen.
  • Virlock voert opdrachten uit via batch (.bat) -bestanden en start cmd.exe om kwaadaardige acties uit te voeren.
  • De ransomware wijzigt het Windows -register met behulp van reg/regedit.exe, die waarschijnlijk persistentie vaststelt of beveiligingsfuncties wordt uitgeschakeld.

Elke sandbox -sessie in elke.RUN genereert automatisch een gedetailleerd rapport dat eenvoudig kan worden gedeeld binnen een bedrijf. Deze rapporten zijn opgemaakt voor verdere analyse, helpen beveiligingsteams samen te werken en effectieve strategieën te ontwikkelen om ransomware -bedreigingen in 2025 te bestrijden.

Ransomware in 2025: een groeiende dreiging die u kunt stoppen

Ransomware is agressiever dan ooit, het verstoren van bedrijven, het stelen van gegevens en het eisen van miljoenen losgeld. De kosten van een aanval zijn onder meer verloren operaties, beschadigde reputatie en gestolen klantvertrouwen.

U kunt ransomware stoppen voordat het u vergrendelt. Door verdachte bestanden te analyseren in elke.run’s interactieve sandbox, krijgt u realtime inzichten in malwaregedrag, zonder uw systemen te riskeren.

Probeer er 14 dagen vrij. Run om cyberdreigingen voor uw bedrijf proactief te identificeren voordat het te laat is!

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 9 Super Bowl -advertenties Markeer Gemini Live -functies

Leica introduceert Lux Grip Camera Accessoire voor iPhones

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]