E-mail phishing-aanvallen en brute force-aanvallen op blootgestelde RDP-diensten zijn de meestvoorkomende methodes die cybercriminelen gebruiken om voor het eerst toegang te krijgen tot een bedrijfsnetwerk. Zodra ze in het systeem zitten, leggen ze de basis neer voor een ransomware-aanval.
Beveiligingsonderzoekers bij Coveware analyseerden ransomware-aanvallen gedurende het tweede kwartaal van dit jaar. Uit deze studie blijkt dat phishing-aanvallen en RDP-aanvallen in veruit de meeste gevallen de toegangspunten waren voor ransomware-aanvallen. Deze methodes zijn aantrekkelijk voor cybercriminelen doordat ze slechts weinig kosten om uit te voeren en tegelijkertijd uiterst effectief zijn.
In een phishing-aanval sturen cybercriminelen e-mails met daarin een boosaardige bijlage of sturen ze hun slachtoffer naar een aangetaste website die ransomware installeert. Het afgelopen kwartaal ging het in 42% van de aanvallen om een phishing-aanval.
Voor een aanval op RDP-diensten gebruiken cybercriminelen brute kracht om zwakke of standaard gebruikersnamen en wachtwoorden te raden. Soms combineren hackers de twee methodes ook, door inloggegevens te achterhalen via phishing mails. In 42% van de ransomware aanvallen kregen hackers toegang via een aanval op RDP-diensten.
Naast deze twee populairste methodes, maken hackers ook geregeld gebruik van kwetsbaarheden in software om ransomware te installeren. Zo gaat 14% van de ransomware-aanvallen gepaard met een kwetsbaarheid in de gebruikte software. Hoewel deze methode minder vaak wordt gebruikt, is hij niet minder gevaarlijk. Vaak gaat het bij deze methode namelijk om de meer verfijnde en extreme ransomware.
Verschillende vormen van ransomware
Volgens Coveware werd in een groot deel van de ransomware-aanvallen (16,5%) gebruik gemaakt van de REvil ransomware. REvil kwam voor in een aantal grote aanvallen dit jaar, waaronder de enorme aanval op klanten van Kaseya. In de afgelopen weken is de infrastructuur van REvil op mysterieuze wijze offline gegaan.
Een andere vorm van ransomware die de afgelopen periode veel werd gebruikt (in 14,4% van de gevallen), is Conti. Een van de grootste aanvallen met deze malware, was die op de Ierse gezondheidszorg. Uiteindelijk gaf Conti gratis de decryptie sleutel vrij. Toch bleef de gezondheidszorg in Ierland nog maandenlang verstoord. Ook bij ons maakte Conti slachtoffers.
Het derde meest voorkomende type ransomware was Avaddon, welke aanwezig was in 5,4% van de gevallen. Avaddon wordt verspreid via phishingmails. Afgelopen juni maakte de groep achter Avaddon bekend ermee te gaan stoppen en bracht hij een decryptiesleutel uit voor de ransomware.
Verder vinden we in de top vijf een paar nieuwe soorten ransomware: Mespinoza en Hello Kitty. Nu gevestigde groepen als REvil en Avaddon ermee ophouden, is het te verwachten dat nieuwe ransomware groepen hun plaats gaan innemen.
Hoe voorkom je een ransomware aanval
Om het netwerk van je organisatie beter te beveiligen tegen een aanval, is het verstandig om multifactorauthenticatie in te stellen. Hierdoor maak je het inbrekers extra moeilijk om toegang te krijgen tot een account.
Ook is het belangrijk om software updates en beveiligingspatches zo snel mogelijk te installeren nadat ze worden uitgerold. Zo voorkom je dat aanvallers misbruik maken van bekende kwetsbaarheden om toegang te krijgen tot je bedrijfsnetwerk.