2024 tekende zich af met een toenemend aantal ransomwareaanvallen en een opmerkelijke toename van het aantal ransomwaregroepen. Twee spelers onderscheiden zich van de ‘concurrentie’ en voeren prominent de lijst van aanvallen aan: RansomHub en LockBit. En dat is geen toeval.
In 2024 heeft de cybercriminaliteit een nieuw hoogtepunt bereikt met een toename van ransomware-aanvallen van elf procent ten opzichte van 2023. De cijfers komen uit het ‘2024 Ransomware Report’ van Check Point Software Technologies.
In 2024 was er de opkomst van 95 actieve ransomware-groepen, een toename van veertig procent ten opzichte van de 68 groepen die het jaar daarcoor actief waren, met RansomHub en LockBit dus als uitschieters.
Grootmacht
RansomHub is de nieuwe grootmacht in het cybercriminele landschap. De groep heeft zijn succes te danken aan een geraffineerd ransomware-as-a-service (raas)-model, waarbij ze tools en infrastructuur verhuren aan andere cybercriminelen. ‘Het business model van raas heeft ransomware gedemocratiseerd, waardoor zelfs beginnende bedreigers geavanceerde aanvallen kunnen uitvoeren’, verklaart Lieven Van Rentergem, securityengineer-expert bij Check Point. ‘Groepen als RansomHub zijn een voorbeeld van de kracht van dit model.’
LockBit daarentegen blijft ondanks tegenslag een aanwezige speler. Zelfs na de arrestaties en infrastructuurinbeslagnames in februari 2024 wist de groep zich te handhaven. De veerkracht komt voort uit een gedecentraliseerde structuur en jarenlange opgebouwde expertise in het viseren van bedrijfskritische systemen. En ze hebben bij LockBit bovenal een specifiek businessmodel: via hun affiliate-programma verleiden ze ontevreden werknemers om hun werkgever te verraden met het doorspelen van cruciale login-gegevens.
Versplintering
Toch leidde het aanpakken van grote ransomwaregroepen als LockBit tot versplintering in het landschap van groepen, waardoor de concurrentie tussen kleinere ransomwarebendes toenam en andere dreigingsactoren konden opvallen. ‘Steeds meer bedreigers richten zich zich op Linux- en VMware ESXi-systemen, omdat ze hun kritieke rol in bedrijfsomgevingen erkennen’, vult Van Rentergem aan. ‘Daarnaast maken ze gebruik van cloudgebaseerde tools voor datadiefstal en van ai om de aanvalsdoeltreffendheid te vergroten.
Een voorbeeld van dat laatste is FunkSec, een sterk opkomende groep die gebruikmaakt van ai-ondersteunde malware die waarschijnlijk wordt uitgerold door onervaren spelers. Deze groep lijkt geen bekende connecties te hebben met eerder geïdentificeerde ransomwarebendes.
