5 jaar na WannaCry ransomware-aanval: de huidige stand van zaken

Vijf jaar geleden was WannaCry de eerste grote ransomware-aanval. In het licht daarvan duidt Zahier Madhar, security engineer expert bij Check Point Software, hoe ransomware sindsdien is geëvolueerd, inclusief de toenemende schaal en verfijning van aanvallen en de escalerende omvang van de financiële eisen.

Op 12 mei 2017 werd de wereld het slachtoffer van een grote ransomware-aanval die bekend staat als ‘WannaCry’. De aanval had een ongekende omvang en verspreidde zich als een lopend vuurtje over de hele wereld, met meer dan 200.000 geïnfecteerde Windows-computers in 150 landen in slechts een paar dagen. De schade van de aanval bedroeg miljarden dollars aan verliezen.

Het initiële losgeldbedrag was relatief laag: van elk slachtoffer vroeg de ransomware 300 dollar, wat werd verdubbeld naar 600 dollar als de betaling niet binnen de eerste 3 dagen werd gedaan. De wereldwijde impact van de aanval, samen met andere door het regime gesteunde activiteiten van de Lazarus Group, geeft echter aan dat de aanvallers, naast het monetaire aspect, echt uit waren op chaos, paniek en vernietiging.

De WannaCry-aanvallen hebben cyberbeveiliging veranderd – niet alleen door de enorme impact; het maakte furore vanwege zijn buitensporige invloed op het cyberdreigingslandschap. Als de eerste wereldwijde cyberaanval met meerdere vectoren, mogelijk gemaakt door actoren gesponsord door de staat, markeerde het een keerpunt in de cyberbeveiligingsomgeving. Het inspireerde actoren over de hele wereld en beïnvloedde het hele dreigingslandschap voor de vijf daaropvolgende jaren tot nu toe.

WannaCry was geen pionier op het gebied van winstgevendheid, maar het was wel het begin van het politieke gebruik van ransomware. In de afgelopen vijf jaar zijn ransomware-operaties geëvolueerd van willekeurig verzonden e-mails naar miljoenenbedrijven, zoals NotPetya, REvil, Conti en DarkSide, die gerichte en geavanceerde aanvallen uitvoeren die organisaties in elke branche treffen. De vraag om losgeld waarmee Kaseya in 2021 te maken kreeg, bedroeg naar verluidt 70 miljoen dollar.

Belangrijke trends sinds WannaCry zijn onder meer ransomware met dubbele afpersing, aanvallen op de toeleveringsketen voor maximale verstoring, hogere eisen voor losgeld en zelfs aanvallen van nationale staten gericht op kritieke infrastructuur. Volgens CPR werden in het eerste kwartaal van 2022 wekelijks gemiddeld 1 op 68 organisaties in Europa getroffen, een stijging van 16% op jaarbasis (1 op 80 organisaties in Q1 2021). In Nederland werden wekelijks gemiddeld 82 organisaties getroffen. Organisaties moeten prioriteit geven aan preventie als ze de toenemende dreiging willen bestrijden.

De opkomst van dubbele en driedubbele afpersing

Werken op afstand en hybride werken, samen met een versnelde acceptatie van de cloud, hebben voor ransomware-aanvallers nieuwe mogelijkheden voor misbruik gecreëerd. Aanvallen worden steeds geavanceerder met nieuwe trends zoals Ransomware-as-a-Service, dubbele en zelfs driedubbele afpersing. Cybercriminelen dreigen met het publiceren van privé-informatie voor dubbele afpersing en eisen losgeld, niet alleen van de geïnfecteerde organisatie zelf, maar ook van haar klanten, partners en leveranciers (triple extortion).

Aanvallen op overheden en kritieke infrastructuur

Een paar dagen geleden vonden er twee enorme ransomware-aanvallen plaats in Costa Rica en Peru, beide naar verluidt uitgevoerd door de beruchte Conti ransomware-bende. De aanvallen leidden ertoe dat de Costa Ricaanse regering op 6 mei de noodtoestand uitriep en een verlies van 200 miljoen dollar schatte door de douane en overheidsinstanties lam te leggen, en zelfs tot een stroomuitval in een van haar steden als gevolg van een storing van een belangrijke energieleverancier. Een van de meest spraakmakende ransomware-aanvallen op kritieke infrastructuur van de afgelopen jaren was die op Colonial Pipeline.

Elk bedrijf een doelwit

Terwijl overheden en grote bedrijven vaak de krantenkoppen halen, zijn ransomware-actoren willekeurig en zullen ze zich richten op bedrijven van elke omvang in alle sectoren. Om zichzelf te beschermen, moeten IT-teams prioriteit geven aan preventie. Het huidige dreigingslandschap vraagt waakzaamheid voor tekenen van een trojan op netwerken, regelmatig bijwerken van antivirussoftware, proactief patchen van relevante RDP-kwetsbaarheden (Remote Desktop Protocol) en het gebruik van tweefactorauthenticatie. Aanvullend controleren speciale anti-ransomware-oplossingen constant op ransomware-specifiek gedrag en identificeren deze onwettige bestandsversleuteling, zodat een infectie kan worden voorkomen en in quarantaine kan worden geplaatst voordat deze vat krijgt. Met deze beveiligingen kunnen organisaties beter voorbereid zijn op wanneer ze worden aangevallen, aangezien een aanval in het huidige klimaat slechts een kwestie van tijd is.

Ter gelegenheid van de 5e verjaardag van de WannaCry-aanval heeft Check Point een ransomware-hub gecreëerd met rapporten, blogs, webinars, podcasts, video’s en live statistieken over ransomware-aanvallen en de impact ervan.