Wereldwijd zijn twee ransomware-groeperingen verantwoordelijk voor een kwart van alle ransomware-aanvallen. Zes groepen zijn goed voor iets meer dan de helft van de schendingen. De groepen richten zich op de maakindustrie, zorg en bouw. En de meeste hebben een band met Rusland.
Dat blijkt uit een rapport van Unit42, de onderzoektak van Palo Alto Networks. De bevindingen zijn gebaseerd op analyses van de zogenaamde leksites: platforms waar cybercriminelen gestolen data openbaar maken.
De zes actiefste groepen zijn: Flighty Scorpius-groep met de ransomware LockBit 3.0, Fiddling Scorpius met Play, Squalid Scorpius met 8Base, Howling Scorpius met Akira, Dark Scorpius met BlackBasta, en Transforming Scorpius met Medusa. Wereldwijd zijn deze bendes dus verantwoordelijk voor 53 procent van alle ransomware-aanvallen. Vooral Flighty Scorpius en Fiddling Scorpius blijken actief. Die twee groepen zijn goed voor ruim een kwart (27 procent) van alle aanvallen. Flighty Scorpius is in zijn eentje zelfs goed voor achttien procent van de ellende.
Beloning
Momenteel zijn er een vijftigtal actieve ransomware-groeperingen. Veel van deze groepen hebben banden met Rusland. De Amerikaanse regering heeft bijvoorbeeld een beloning van tien miljoen dollar uitgeloofd voor informatie over Dmitry Khoroshev, alias LockBitSupp, de vermoedelijke Russische leider van Flighty Scorpius. Khoroshev is ’s werelds meest gezochte cybercrimineel en zou achter de aanval op de Nederlandse voetbalfederatie KNVB hebben gezeten.
De dreiging vanuit al deze groepen neemt alvast toe. In de eerste helft van 2024 plaatsten cybercriminelen 1.762 nieuwe berichten over gestolen gegevens, een stijging van vier procent ten opzichte van dezelfde periode in 2023.
Vizier
Vooral de VS staan in het vizier van ransomware-aanvallen; 52 procent van de aanvallen zijn gericht op Amerikaanse organisaties. Canada, het VK en België behoren ook tot de getroffen landen, waarbij België dit jaar in de top 10 staat met een procent van de wereldwijde aanvallen. De ransomware-groeperingen richten zich vooral op sectoren die cruciaal zijn voor het dagelijks functioneren, zoals de maakindustrie, gezondheidszorg en bouw. De maakindustrie werd dit jaar het zwaarst getroffen, goed voor zestien procent van alle ransomware-incidenten wereldwijd. De gezondheidszorg zag een opvallende stijging en is nu de op één na meest aangevallen sector, met tien procent van de gevallen. De bouwsector staat op de derde plaats met negen procent.
