Cybercriminelen passen strategie aan: verschuiving van encryptie naar data lekken, Nederlandse zorgsector onder vuur

Bovendien is de zorgsector niet langer verboden terrein onder ransomwaregroepen: in Nederland was de zorg de meest aangevallen sector in de laatste zes maanden. 

De verschuiving naar afpersing via data-exfiltratie (DXF) 

Traditionele ransomware-aanvallen maakten gebruik van encryptie, waarbij aanvallers bestanden versleutelden en losgeld eisten in ruil voor de ontgrendeling. Dit proces brengt echter steeds meer uitdagingen met zich mee voor cybercriminelen. Encryptie is technisch complex en trekt de aandacht van beveiligingssystemen, wat het risico op detectie vergroot. Bovendien moeten ransomwaregroepen unieke sleutels beheren voor meerdere slachtoffers en “klantenservice” bieden voor gegevensherstel - een tijdrovend en kostbaar proces. 

Daarnaast vertrouwen ransomwaregroepen sterk op hun reputatie: slachtoffers moeten geloven dat ze hun gegevens daadwerkelijk terugkrijgen als ze betalen. Maar als de ontgrendeling mislukt, verdwijnt dat vertrouwen en wordt de kans kleiner dat toekomstige slachtoffers losgeld betalen. Encryptie maakt cybercriminelen ook afhankelijk van Ransomware-as-a-Service (RaaS)-platforms, wat hun winstmarges verlaagt en hen kwetsbaarder maakt voor opsporingsdiensten.  

Tegelijkertijd is de bereidheid van slachtoffers om losgeld te betalen afgenomen. Veel bedrijven hebben betere back-ups en betalen niet langer voor het herstellen van versleutelde data. Daarentegen is afpersing puur gebaseerd op data-exfiltratie (DXF-only) stabiel gebleven met een betalingspercentage van ongeveer 35%. De hoge kosten en dalende effectiviteit van encryptie hebben ertoe geleid dat ransomwaregroepen overstappen op DXF-only-aanvallen. Daarbij moeten slachtoffers hun gegevens "terugkopen" om te voorkomen dat ze publiek worden gedeeld.  

Criminele groepen zoals Karakurt en Lapsus$ waren de eersten die volledig overstapten op DXF-only-aanvallen. Daarnaast zijn er nieuwe spelers die zich exclusief toeleggen op de verkoop van gestolen data. Zo opereert Bashe (ook bekend als Eraleign), dat in april 2024 voor het eerst opdook, als een puur op data-exfiltratie gericht afpersingsplatform. Het biedt een speciale dataleksite (DLS) en een onderhandelingsplatform, zonder encryptieservices of extra tools aan te bieden. 

Nieuwe risico’s: nep-aanvallen en valse claims 

DXF-only-aanvallen brengen nieuwe uitdagingen met zich mee. Omdat er geen zichtbare verstoring plaatsvindt, zoals bij encryptie, kunnen criminelen eerder gelekte gegevens hergebruiken en doen alsof ze een nieuw slachtoffer hebben gemaakt. Dit maakt het moeilijker voor onderzoekers om ransomwarecampagnes te volgen en de echte daders te identificeren, omdat meerdere groepen dezelfde aanval kunnen claimen. 

Verslechterde “ethiek” van aanvallers: ziekenhuizen onder vuur 

Hoewel veel Ransomware-as-a-Service (RaaS)-operators ziekenhuizen en medische zorgverleners in de eerste maanden van de pandemie nog als verboden terrein bestempelden, zien onderzoekers van Check Point een geleidelijke afbrokkeling van deze eerder vastgestelde "ethiek". Sommige RaaS-aanbieders namen een genuanceerdere houding aan: in plaats van directe verstoring van zorgdiensten, zoals het versleutelen van kritieke systemen, te stimuleren, stonden ze de diefstal van gevoelige medische gegevens en afpersing toe. De situatie verslechterde na de rechtshandhavingsoperatie tegen ransomwaregroep ALPHV. Als reactie daarop moedigde de groep haar affiliates openlijk aan om juist ziekenhuizen als doelwit te kiezen. De erosie van ethische grenzen met betrekking tot aanvallen op zorginstellingen benadrukt een groeiende meedogenloosheid onder dreigingsactoren. 

In Nederland is de zorgsector de afgelopen 6 maanden de meest aangevallen sector. Een organisatie in Nederland werd gemiddeld 993 keer per week aangevallen in de afgelopen 6 maanden, in de zorg ligt dit aantal op 3175 aanvallen per week. Op de tweede plaats staat consultancy (1432 aanvallen per week), gevolgd door de overheid en militaire sector (1118 aanvallen per week). 

"De verschuiving naar afpersing van datalekken brengt een nog sluipender risico met zich mee: organisaties worden niet langer alleen geconfronteerd met operationele verstoringen, maar ook met de publieke blootstelling van gevoelige gegevens. Beveiligingsstrategieën moeten evolueren om zich te richten op vroege detectie, sterke gegevensversleuteling en robuuste toegangscontroles om deze bedreigingen te beperken", aldus Omer Dembinsky, Data Research Group Manager bij Check Point Software.