- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: Cyber attacks by criminal actors: Use of ransomware as a means of extortion
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Cyber attacks by criminal actors: Use of ransomware as a means of extortion
In early February 2020, cybersecurity experts published about new ransomware, called EKANS, which focuses on industrial control systems (ICS) and allegedly developed by criminals. These systems are used for, for example, drinking water and energy supply. The attack method is relatively simple, but the ransomware appears to be specially designed to attack ICS. EKANS's victims are likely to include Bahrain's state oil company and manufacturing companies. EKANS may be the first ICS-targeted ransomware to be the work of a criminal actor.
Modi operandi en ingezette middelen grotendeels gelijk gebleven
Inzet van ransomware als middel voor afpersing
Steeds vaker wordt waargenomen dat criminele actoren ransomware zodanig inzetten dat zij het slachtoffer onder druk kunnen zetten om tot betaling van losgeld over te gaan. Het gaat de actoren vooral om organisaties die de mogelijkheid hebben om grotere geldbedragen te betalen en/of waarvoor bedrijfscontinuïteit en waardevolle unieke data een belangrijke rol spelen. Kenmerkend voor de werkwijze is de uitgebreide verkenning van het bedrijfsnetwerk. Dit stelt de actor in staat om de waarde van de data en de schade voor het slachtoffer in te schatten en om de ransomware op de meest effectieve wijze te plaatsen. Op basis van dat inzicht varieert het gevraagde losgeld van enkele tienduizenden tot miljoenen euro’s. Er lijkt een toename te zijn van ransomware-aanvallen waarbij data niet alleen versleuteld wordt, maar ook gekopieerd. Wanneer een organisatie het losgeld niet wilde betalen, dan publiceerden criminelen in sommige gevallen de data.
Begin februari 2020 publiceerden cybersecurity experts over nieuwe ransomware, genaamd EKANS, die zich richt op industriële controlesystemen (ICS) en zou zijn ontwikkeld door criminelen. Deze systemen worden gebruikt voor bijvoorbeeld de drinkwater- en energievoorziening. De aanvalsmethode is relatief eenvoudig, maar de ransomware lijkt speciaal ontwikkeld om ICS aan te vallen. Tot de slachtoffers van EKANS behoren waarschijnlijk de staatsoliemaatschappij van Bahrein en bedrijven in de maakindustrie. EKANS is mogelijk de eerste ICS-gerichte ransomware die het werk is van een criminele actor.
Inzet van ransomware veroorzaakt wereldwijd financiële schade
In maart 2019 werd bekend dat het Noorse energie- en aluminiumconcern Hydro besmet was geraakt met de LockerGoga-ransomware. Hydro, dat ook vestigingen in Nederland heeft, werd door de aanval gedwongen om op verschillende locaties in Europa en de Verenigde Staten de productie stop te zetten en waar mogelijk over te schakelen op handmatige bediening. De herstelwerkzaamheden hebben lang geduurd en de financiële schade voor het concern in de eerste helft van 2019 alleen al wordt geschat op 55 tot 66 miljoen euro.
In Nederland is het NCSC in samenwerking met (inter)nationale partners in maart 2019 gestart met een aan de LockerGoga-ransomware gerelateerd onderzoek. Daaruit is naar voren gekomen dat de actoren meerdere ransomwarevarianten gebruikten, waaronder MegaCortex, Ryuk en Maze. Gebleken is dat er een grote tijdsspanne (maanden) kan zitten tussen het tijdstip van binnendringen en de inzet van de ransomware. Vermoedelijk gebruiken de aanvallers deze tijd om informatie over de organisatie te verzamelen om vervolgens een op de organisatie afgestemd bedrag als losgeld te kunnen eisen. Andere motieven, zoals spionage en sabotage, zijn echter niet uit te sluiten. Waar mogelijk zijn (potentiële) slachtoffers op de hoogte gebracht, zodat zij maatregelen konden treffen om verdere schade te voorkomen. Het aantal slachtoffers in Nederland was medio 2019 beperkt. Er waren geen slachtoffers binnen de vitale infrastructuur en de rijksoverheid bekend.
Generieke malware gebruikt voor de inzet van ransomware-aanvallen
Emotet en Trickbot zijn generieke malwarevarianten die in verband worden gebracht met ransomware-aanvallen. Zij zijn omgezet in multifunctionele aanvalsplatformen die bijvoorbeeld worden gebruikt voor het plaatsen van additionele malware zoals ransomware. De Nederlandse politie ziet dat ransomware het sluitstuk van een cyberaanval kan zijn. Het kan niet worden uitgesloten dat in de tijdsspanne tussen de initiële besmetting en de inzet van ransomware ook andere activiteiten hebben plaatsgevonden. Hierbij kan het bijvoorbeeld gaan om het kopiëren van informatie, of het verzekeren van toegang tot het netwerk op een later moment. In veel gevallen wordt Emotet als opstap gebruikt om Trickbot te installeren. Trickbot is een malwarefamilie die middels losse modules extra functionaliteiten in kan zetten. Daarmee krijgt de aanvaller bijvoorbeeld zicht op de toetsaanslagen en muisbewegingen.
Ransomware-aanval Universiteit Maastricht
De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratie-rechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten.
Op 23 december 2019 heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.
Uit onderzoek naar de ransomware-aanval bleek dat dit “[….] kon ontstaan door een combinatie van enkele ontbrekende belangrijke beveiligingsupdates, beperkte segmentatie binnen het netwerk, het niet opvolgen van verschillende alarmsignalen en ongelukkig menselijk handelen".