De 5 meest schadelijke ransomware-aanvallen van 2021...Tot nu toe

Schadelijke ransomware-aanvallen van 2021

Het aantal ransomware-aanvallen in 2021 is met 150% toegenomen ten opzichte van 2020 en volgens de FBI waren er medio 2021 100 verschillende soorten ransomware in omloop. De omvang van de aanvallen variëren van klein en zeer gefocust tot enorm en wijdverbreid. Senatoren Dick Durbin en Chuck Grassley lieten de Senaat in juli 2021 weten dat 50 tot 75% van alle ransomware-aanvallen gericht is op kleine bedrijven. De meeste worden niet gerapporteerd en daarom kunnen we meer leren van grotere aanvallen zoals die op SolarWinds, waarbij honderden organisaties werden getroffen.

Ransomware is softwarecode die is ontworpen om een computersysteem, netwerk, bestanden en/of gegevens te vergrendelen (of de toegang te blokkeren) totdat het slachtoffer een bepaald bedrag betaalt: het losgeld (ransom).

Tot nu toe waren er in 2021 veel grote, erg schadelijke ransomware-aanvallen. We hebben een top 5 gemaakt in volgorde van hun betekenis in de zin van maatschappelijke veiligheid richting 2022. Een aanval die alleen resulteert in het betalen van veel losgeld, hoeft niet tegelijk schadelijk of mogelijk gevaarlijk voor de samenleving te zijn.

De 5 meest schadelijke ransomware-aanvallen in 2021 tot aan 1 november

1. DarkSide-aanval op de Colonial Pipeline Company

Colonial Pipeline Company werd begin mei het slachtoffer van een ransomware-aanval, waardoor de brandstoftoevoer naar een groot deel van het zuidoosten van de VS werd verstoord. Daarnaast bestond de kans op verspreiding tot in het noorden, zover als New York. De ransomware-aanval op de Colonial Pipeline was verreweg de meest opvallende aanval van 2021. Het is geen verrassing: onze maatschappij draait om vervoer en Amerikanen kunnen niet zonder hun brandstof. Colonial levert 50% van de brandstof aan de oostkust.

Wat de aanval bijzonder gevaarlijk maakte, was de reactie van de consument. Mensen raakten in paniek en kochten zoveel benzine als ze konden opslaan. Het werd overal opgeslagen, zelfs in onveilige containers, zoals plastic bakken en zakken, die makkelijk in brand konden vliegen.

Het was ontluisterend om te lezen hoe simpel de aanvalsmethode was. Colonial had niet de juiste beveiligingsmaatregelen zoals multi-factor authenticatie (MFA) getroffen. Aanvallers konden vrij gemakkelijk de VPN van het bedrijf binnendringen. Hackers probeerden gewoon verschillende wachtwoorden totdat ze binnen waren.

Hackersgroepen werden aangemoedigd door het gemak waarmee zo'n vitaal deel van de nationale infrastructuur werd platgelegd. Men denkt nu dat ze in 2022, zonder al te veel moeite, kritieke infrastructuur zouden kunnen uitschakelen.

Betaald losgeld: $4,4 miljoen

2. REvil-aanval op JBS USA

Later in mei werd JBS, de grootste rundvleesleverancier ter wereld, getroffen door een ransomware-aanval van de REvil ransomware-groep. De Amerikaanse divisie, JBS USA, moest vanwege de hack de operaties volledig stopzetten. Onnodig te zeggen dat rundvlees uit veel winkelschappen in de Verenigde Staten verdween, omdat de hack gevolgen had voor de toeleveringsketen. Deze begint juist bij JBS USA.

Het REvil-JBS-incident onderstreept hoe kwetsbaar de Amerikaanse voedselvoorzieningsketen is voor een veel bredere en agressievere aanval, zeker als die met steun van een overheid wordt uitgevoerd. Het is duidelijk dat een gecoördineerde, gelijktijdige hack van meerdere grote voedselleveranciers in het hele land enorme voedseltekorten zou kunnen veroorzaken.

Hoewel JBS verklaarde dat zijn "robuuste IT-systemen en versleutelde back-upservers" de redenen waren voor een snel herstel, lijkt dat dat niet de enige oorzaak van het herstel te zijn geweest. Later in juni werd door JBS onthuld dat ze veel losgeld hadden betaald om te voorkomen dat bedrijfs-, klant- en werknemersgegevens in gevaar kwamen.

Betaald losgeld: $11 miljoen

3. Onbekende ransomware-aanval op openbare scholen van Buffalo

Op 12 maart trof een ransomware-aanval (door onbekende criminelen) het Buffalo Public School-systeem in New York. Het systeem omvat momenteel 34.000 studenten. Hoewel de hoofdinspecteur van Buffalo Schools de impact van de aanval bagatelliseerde, wees een onderzoek uit dat de ontbrekende documenten tientallen jaren lesmateriaal, leerlingdossiers en zo'n 5000 aanvragen voor toelating tot scholen in september omvatten. Ook systemen die essentieel zijn voor de werking van het district, zoals juridische en boekhoudkundige systemen, bleken te zijn lamgelegd, volgens stukken en een video over de zaak, die later werden gepubliceerd door WGRZ.

Dit incident wijst op een verontrustende samenloop van omstandigheden die op veel te veel landelijke scholen van toepassing is. Scholen hebben simpelweg te weinig personeel op het gebied van IT-beveiliging, met name cyberbeveiliging. Ze zijn sinds augustus 2021 in meer dan de helft van de gevallen het slachtoffer.

Losgeld betaald: Onbekend

4. Evil Corp-aanval op CNA Financial

Op 21 maart werd CNA Financial, een van de grootste verzekeringsmaatschappijen van de VS, getroffen door een ransomware-aanval die een grote netwerkstoring veroorzaakte. Na zes weken was het netwerk van het bedrijf nog steeds niet volledig operationeel, hoewel executives van het bedrijf in een verklaring beweerden dat ze "onmiddellijk actie hadden ondernomen door [de] systemen proactief los te koppelen van het CNA-netwerk.

Het meest verontrustende aan dit incident is dat CNA een beveiligingsomgeving had die geavanceerder was dan de meeste organisaties. Toch werden ze nog steeds gehackt. Ironisch genoeg biedt het bedrijf cyberverzekeringen aan. Het incident laat ook een groeiende dreigingsmogelijkheid zien: remote access operaties. In dit geval versleutelden de hackers 15.000 devices, waaronder de computers van veel externe medewerkers.

We zijn er niet 100% zeker van dat Evil Corp achter de aanval zat. De hackers gebruikten echter malware genaamd Phoenix Locker, de ransomware van Evil Corp, genaamd 'Hades'. Evil Corp, gevestigd in Rusland, is niet onderworpen aan Amerikaanse sancties en CNA verklaarde dat de hackers niet onderworpen waren aan Amerikaanse sancties.

Losgeld betaald: $40 miljoen

5. Wizard Spider op de Ierse Health Service Executive (HSE)

Op 14 mei moest het door de Ierse overheid beheerde gezondheidssysteem voor openbare gezondheidsdiensten al hun IT-systemen sluiten om de verspreiding van malware te voorkomen. Helaas was het tijdens de ransomware-aanval toch al in delen van hun netwerk geïnfiltreerd. Het kostte HSE tot 30 juni om de systemen voor online registratie van medische kaarten te herstellen.

De hackers hadden toegang tot patiënt- en personeelsinformatie en lekten gegevens over de 100.000 werknemers en miljoenen patiënten van HSE. Het lijkt erop dat medische dossiers, aantekeningen en behandelingsgeschiedenissen deel uitmaken van de gecompromitteerde gegevens. In een verklaring zei HSE dat Russisch sprekende hackers een deel van de gecompromitteerde gegevens op het 'dark web' hadden gezet en dat mensen hierdoor werden getroffen. In hun cyberbeveiligingsincidenten-update in juli verklaarde HSE dat de gezondheidszorg nog steeds zwaar leed onder de aanval.

Het behoeft geen betoog dat de maatschappelijke impact van inbreuken op het gezondheidssysteem enorm is. Zowel in termen van gecompromitteerde informatie als de nationale psyche. Wie zou ooit kunnen vermoeden dat een vijandige buitenlandse groep alles zou weten over zijn of haar medische geschiedenis en het ook nog eens zou publiceren zodat iedereen het kan zien?

Ondanks de ernst van de inbreuk verklaarde HSE dat het GEEN losgeld zou betalen.

Hoe Splashtop u kan helpen ransomware-aanvallen te voorkomen

Veel bedrijven wenden zich tot VPN en RDP om werken op afstand mogelijk te maken, waardoor hun bedrijf kan worden blootgesteld aan toenemende cyberdreigingen. In de afgelopen jaren hebben Gartner en veel beveiligingsexperts bedrijven aanbevolen om af te stappen van VPN-toegang op netwerkniveau. Ze stellen voor om over te schakelen naar op applicatieniveau werkende identiteitsgebaseerde remote access-oplossingen die een zero-trust framework omarmen.

Splashtop biedt een cloud-native veilige oplossing voor remote access die uw netwerk beschermt tegen hackers. Hoe werkt dat? Onze oplossing laat sowieso nooit mensen op uw netwerk toe. Dat is ons geheime ingrediënt.

Splashtop houdt voortdurend de nieuwste cyberbedreigingen in de gaten. We zijn toegewijd aan het beschermen van onze klanten. Om dit te doen, hebben we een Security Advisory Council gevormd en een Security Feed gelanceerd om IT-professionals en MSP's te helpen op de hoogte te blijven van de nieuwste kwetsbaarheden.

Blijf op de hoogte van het laatste nieuws omtrent beveiliging met Splashtops security nieuws.


Meer over dit onderwerp:

Gratis proefbanner op de onderkant van het blog