Volgens gegevens van de FBI vielen sinds juni 2021 al minstens 1.300 organisaties ten prooi aan de ransomware Hive. Dat leverde criminelen voor honderd miljoen dollar aan losgelden op.
Sinds de eerste ontdekking van Hive in juni 2021 werden al meer dan 1.300 organisaties getroffen door een variant van de ransomware. De meest recente incidenten dateren nog van deze maand. Getroffen organisaties betaalden ook al meer dan honderd miljoen dollar aan losgeld. Deze cijfers komen uit een rapport van de FBI en het Amerikaanse bureau voor cyberveiligheid (CISA).
Hive-ransomware verspreidt zicht via het RaaS-model (ransomware-as-a-service). Cybercriminelen verkopen onderling kant-en-klare ransomware om slachtoffers aan te vallen. Varianten van Hive zijn ingezet om organisaties van allerlei aard aan te vallen, met name vooral organisaties uit de publieke sector en kritieke infrastructuur.
lees ook
Ransomware voor iedereen: hoe RaaS de spelregels op zijn kop zet
Herkenbaar patroon
Uit onderzochte incidenten blijkt dat Hive-aanvallen een herkenbaar patroon vertonen. Eerst moeten de aanvallers zich een weg naar binnen banen. Dat doen ze via de inmiddels klassieke trucs zoals phishing, aanmelden met RDP of het uitbuiten van kwetsbaarheden in Microsoft Exchange.
lees ook
De 5 fases van een cyberaanval: wanneer kan je nog tussenkomen en wanneer is het te laat?
Eens ze binnen zijn, maken de aanvallers gebruik van PowerShell om antivirussoftware op het gastapparaat onschadelijk te maken en te knoeien met de back-upprocessen. Zo maken ze de weg vrij voor de malware om schade aan te richten. Vervolgens zetten ze hun slachtoffer onder druk om losgeld te betalen. Doen ze dat niet, installeren de aanvallers vaak nog aanvullende malware.
Hoe bescherm je je tegen ransomware?
Ter bescherming tegen Hive en andere ransomware-virussen herhaalt het rapport nog eens de belangrijkste beveiligingsvuistregels. Regel nummer één is om het patchen van kwetsbaarheden in je systemen prioriteit te geven.
Ook is het aangewezen om accounts waar mogelijk te beveiligen met multifactorauthentificatie. Tenslotte sluit je alle toegangspoorten en applicaties die niet in gebruik zijn om hackers zo weinig mogelijk ingangen tot je IT-omgeving te geven.
Is de organisatie toch getroffen met ransomware, is het zaak van snel te handelen en de getroffen systemen te isoleren en apparaten indien nodig uit te schakelen. Haal back-ups van je meest kritieke data offline en controleer of deze sporen van virussen bevatten. FBI en CISA adviseren om nooit in te gaan op de eisen van de aanvallers en losgeld te betalen.