Ransomware neemt wat af na piek in de zomer

De door Fox-IT gemelde afname van ransomware-aanvallen komt naar voren in het securityrapport van moederbedrijf NCC, dat vorige week is uitgekomen. Dat verslag over augustus meldt dat er in die maand 19% minder ransomware-aanvallen waren dan in juli. Daarbij blijven de sectoren industrie, consumentengoederen en technologie het meest bestookt door cybercriminelen die aan versleuteling en afpersing doen. Die bedrijfstakken hebben respectievelijk 34%, 18% en 14% van de ransomware-aanvallen te lijden gekregen.

Professionals aan het (criminele) werk

Tegenover de daling van 19% in ransomware-aanvallen staat een scherpe stijging van 47% in juli ten opzichte van juni. Het aantal aanvallen lijkt te stabiliseren sinds de ontbinding van de prominente cybercrimegroep Conti, aldus het rapport van NCC-moeder Fox-IT. De Conti-bende heeft te maken gehad met interne conflicten vanwege de Russische oorlog in Oekraïne en daarna het uitlekken van hun broncode.

Uit dat omvangrijke lek is gebleken hoe professioneel en commercieel hedendaagse cybercrime wordt uitgeoefend: compleet met HR-afdeling, functioneringsgesprekken en beloningen voor de 'werknemer van de maand'. Conti heeft in de afgelopen jaren vele verschillende en grote criminele successen geboekt.

Op basis van de uitgelekte ransomwaresoftware, compleet in broncodevorm, zijn nu wel weer nieuwe groeperingen actief. Een opvallende nieuwkomer daarbij is Monti, meldde Dark Reading vorige maand al, op basis van detectie door security-onderzoekers van BlackBerry. Monti recyclet de uitgelekte code, maar heeft er een eigen 'verbetering' aan toegevoegd: het gebruikt de legitieme agentsoftware Action 1 Remote Monitoring and Maintenance (RMM) voor toegang op afstand.

Minder, maar erger

Ondertussen heeft tech-vergelijkingssite Comparitech een wereldkaart met ransomware-aanvallen gepubliceerd. Dat dagelijks bijgewerkte overzicht gaat terug tot 2018 en vermeldt naast slachtoffer en sector ook data zoals het losgeld en of dat al dan niet betaald is. Deze gegevens zijn natuurlijk niet in alle gevallen bekend. De achterliggende database laat de opgenomen aanvallen ook weergeven per datum, land, sector en andere variabelen. Volgens Comparitech nemen de aantallen af sinds de ransomwarepiek van 2021, maar is er daarbij in de Verenigde Staten wel sprake van toenemende ernst. De aanvallen zijn beter gericht en daarmee effectiever.