Het 2024 Ransomware Report van Check Point Software Technologies laat zien dat in 2024 wereldwijd 5.414 ransomware-aanvallen zijn uitgevoerd op organisaties, een stijging van 11% ten opzichte van vorig jaar. 2024 zag de opkomst van 95 actieve ransomware-groepen, een toename van 40% ten opzichte van 2023. Van deze nieuwe groepen maakte de ransomwaregroep FunkSec, waarvan de operatoren lijken gebruik te maken van AI-ondersteunde malwareontwikkeling, al meer dan 85 slachtoffers in december 2024 alleen.
Terwijl 2024 begon met een afname in ransomware-activiteit tijdens Q1, steeg de frequentie van de aanvallen in Q2 en bleef stijgen tijdens de rest van het jaar. Dit culmineerde in een dramatische piek in Q4, met 1.827 incidenten – 33% van alle ransomware-aanvallen van het jaar, waarmee dit het meest actieve kwartaal was. Dit kan grotendeels worden toegeschreven aan het ontstaan van veel nieuwe groepen door het uiteenvallen van bepaalde ervaren groepen.
Dit zorgde ervoor dat leden met ervaring professionele nieuwe groepen vormden, wat leidde tot een piek in aanvallen. Dit jaar resulteerden wettelijke acties tegen grote ransomware-operaties zoals LockBit in februari 2024 in arrestaties, onthullingen van de identiteit van groepsleiders en de inbeslagname van cybercriminele infrastructuur.
Exponentiële opkomst van nieuwe groepen
Het aanpakken van grote ransomware-groepen leidde tot hun versplintering, waardoor de concurrentie tussen kleinere ransomware-bendes toenam en andere dreigingsactoren konden opvallen. Deze verschuiving is duidelijk zichtbaar in de opkomst van 95 actieve ransomware-groepen in 2024, een toename van 40% ten opzichte van de 68 groepen die actief waren in 2023.
Onder de 46 nieuwe groepen die opdoken, viel RansomHub op als een dominante kracht, die zelfs het gevestigde LockBit in activiteit overtrof. Deze nieuwkomers, zoals FOG, Lynx, APT73 en Eldorado, hebben het dreigingslandschap een nieuwe vorm gegeven en nemen een steeds groter deel van de ransomware-incidenten voor hun rekening. Met name de top 10 groepen waren verantwoordelijk voor 52,8% van de aanvallen, wat zowel de invloed van nieuwkomers als een afname in de dominantie van oudere groepen benadrukt. De combinatie van gevestigde leiders zoals RansomHub, LockBit, Play, Akira, IncRansom en Medusa, naast de opkomst van nieuwe groepen, had verwoestende gevolgen voor wereldwijde organisaties, met financiële verliezen en verstoorde activiteiten.
FunkSec – AI-gestuurde Ransoware-as-a-Service (RaaS)
De FunkSec ransomware-groep dook voor het eerst op in het openbaar eind 2024 en werd snel bekend door het publiceren van meer dan 85 geclaimde slachtoffers (voornamelijk in de VS, India en Europa) – meer dan elke andere ransomware-groep in de maand december. FunkSec presenteert zichzelf als een nieuwe RaaS-operatie en geeft de voorkeur aan dubbele afpersingstactieken, waarbij gegevensdiefstal wordt gecombineerd met versleuteling om slachtoffers onder druk te zetten losgeld te betalen.
FunkSec lijkt geen bekende connecties te hebben met eerder geïdentificeerde ransomware bendes. De meeste kernactiviteiten van FunkSec worden waarschijnlijk uitgevoerd door onervaren spelers, met ondersteuning van AI. Daarnaast is het moeilijk om de authenticiteit van de gelekte informatie te verifiëren, omdat het voornaamste doel van de groep lijkt te zijn om zichtbaarheid en erkenning te krijgen. Bovendien heeft FunkSec banden met hacktivistische activiteiten, met leden die actief zijn in Algerije. Dit benadrukt de steeds vager wordende grens tussen hacktivisme en cybercriminaliteit, en de uitdagingen om het ene van het andere te onderscheiden.
VS grootste slachtoffer als land, zakelijke dienstverlening als sector
De VS bleef het meest aangevallen bleef, met 936 ransomware-aanvallen binnen de landsgrenzen. In de top 10 landen die het doelwit zijn van ransomware staan echter ook veel Europese landen, zoals Duitsland en Frankrijk.
Met betrekking tot sectorale doelwitten bleef de sector zakelijke dienstverlening het zwaarst getroffen worden door ransomware-aanvallen, een afspiegeling van de trends van 2023, met 451 geregistreerde aanvallen, gevolgd door de detailhandel en daarna de productiesector, die een aanzienlijke toename van ransomware-activiteit zag in de laatste drie maanden van het jaar met 201 incidenten in het vierde kwartaal, wat aangeeft dat ransomware-exploitanten zich meer op deze sector richten. De bouwsector zou een groeiende bron van zorg moeten zijn, aangezien ransomware-incidenten in 2024 met 50% stegen ten opzichte van 2023. Door deze stijging steeg de bouwsector naar de vierde plaats, waarmee de financiële sector, het onderwijs en de gezondheidszorg, die in 2023 hoger scoorden, werden ingehaald.
“Het business model van Ransomware-as-a-Service heeft de grootste verschuiving teweeggebracht in het landschap; het heeft ransomware gedemocratiseerd, waardoor zelfs beginnende bedreigers geavanceerde aanvallen kunnen uitvoeren. Groepen als RansomHub, die als dominante speler naar voren kwam met 531 aanvallen, zijn een voorbeeld van de kracht van dit model”, verklaart Zahier Madhar, security engineer expert bij Check Point.
“Daarnaast zien we ook een duidelijke fragmentatie van ransomwaregroepen. Het verdwijnen van de grote spelers heeft kleinere, flexibele groepen aangespoord om de leegte op te vullen, wat heeft geleid tot meer concurrentie en innovatie. 2024 toonde ons ook dat steeds meer bedreigers zich richten zich op Linux- en VMware ESXi-systemen, omdat ze hun kritieke rol in bedrijfsomgevingen erkennen. Daarnaast maken ze gebruik van cloudgebaseerde tools voor datadiefstal en maken ze gebruik van AI om de aanvalsdoeltreffendheid te vergroten.”
