Vorige maand werd een record gebroken in de wereld van cybercriminaliteit. Uit een analyse van het cybersecuritybedrijf Bitdefender blijkt dat er de afgelopen maand een recordaantal slachtoffers van ransomware is gevallen. Vooral de opmars van de hackersgroep Clop, ook wel geschreven als Cl0p, speelde hierbij een belangrijke rol.
In februari telde Bitdefender 962 slachtoffers van ransomware, wat neerkomt op een stijging van 126 procent ten opzichte van februari 2024. De hackersgroep Clop was verantwoordelijk voor 335 aanvallen, wat een toename van 300 procent betekent ten opzichte van de voorgaande maand.
Ook andere beveiligingsspecialisten melden een aanzienlijke toename in ransomware-aanvallen, waarbij sommigen zelfs spreken van een record. Travelers, een van de grootste verzekeringsmaatschappijen in de VS, meldde recentelijk een recordaantal ransomware-aanvallen voor het afgelopen kwartaal.
Misbruik van kwetsbaarheden
Ransomware neemt niet alleen toe, maar wordt ook steeds opportunistischer. Waar cybercriminelen zich vroeger vooral richtten op specifieke bedrijven, maken zij nu steeds vaker misbruik van recent ontdekte kwetsbaarheden in software. Vaak voeren hackers binnen vierentwintig uur na de bekendmaking van een kwetsbaarheid geautomatiseerde scans uit om toegang te krijgen tot systemen.
De Clop-groep blijkt de belangrijkste drijvende kracht achter de stijging van het aantal ransomware-aanvallen in februari. Volgens Bitdefender misbruikte deze groep twee ernstige kwetsbaarheden in de zogenaamde Cleo-bestandsoverdrachtssoftware, namelijk CVE-2024-50623 en CVE-2024-55956.
Deze beveiligingslekken gaven aanvallers volledige controle over de getroffen systemen. Hoewel deze kwetsbaarheden al in oktober en december 2024 werden ontdekt, wordt de impact ervan pas nu zichtbaar door de tijdrovende aard van de aanvalsmethode.
Software bijwerken
Organisaties kunnen zich beter wapenen door hun software tijdig bij te werken en beveiligingspatches onmiddellijk te installeren. ‘Daarnaast is het belangrijk om dreigingsonderzoek te doen en regelmatig netwerkscans uit te voeren om verborgen bedreigingen te identificeren’, benadrukt Jade Brown, threat researcher bij Bitdefender, benadrukt. ‘Geavanceerde detectie- en beveiligingsoplossingen, zoals ‘endpoint detection and response’ (edr) en ‘extended detection and response’ (xdr), in combinatie met ‘managed detection and response (mdr), kunnen helpen om ongeautoriseerde activiteiten tijdig te detecteren en te stoppen.’
Cl0p lijkt gebruik te maken van 0-days waardoor ontdekte kwetsbaarheden in software nog geen patch hebben. De 0-day-exploits worden verkregen via verschillende kanalen waaronder aankoop op de grijze markt. Dat zou een verklaring geven voor het opportunistisch alles en iedereen aanvallen die kwetsbaar is. Maar Cl0p lijkt zich vooral te specialiseren op software voor de bestandsoverdracht zoals eerder Accellion, GoAnywhere en MOVEit. Een andere speculatie zou dan kunnen zijn dat ze een achterdeurtje hebben gevonden in een open source library die door alle vier de oplossingen gebruikt wordt. Of een achterdeurtje dat opzettelijk opengezet is en nu door de tegenpartij misbruikt wordt.