Het was een ander recordbrekend jaar voor ransomware. Toen malware voor het vergrendelen van bestanden geen wijdverbreide verstoringen veroorzaakte, zoals het platleggen van onlinediensten en langdurige storingen, was ransomware de oorzaak van ongekende aanvallen op gegevensdiefstal die honderden miljoenen mensen troffen, in sommige gevallen levenslang.
Hoewel regeringen de afgelopen twaalf maanden enkele zeldzame overwinningen hebben geboekt tegen ransomware-hackers, waaronder de verstoring van de productieve LockBit-bende en de inbeslagneming en verwijdering van Radarblijven deze gegevensdiefstal- en afpersingsaanvallen dramatisch toenemen, zowel in termen van frequentie als van verfijning.
We blikken terug op enkele van de meest opvallende ransomware-aanvallen van 2024.
Januari
LeningDepot
Hypotheek- en leninggigant LoanDepot zei begin dit jaar dat het getroffen was door een cyberaanval waarbij sprake was van ‘encryptie van gegevens’, oftewel ransomware. De aanval zorgde ervoor dat klanten geen toegang meer hadden tot accountgegevens of betalingen konden doenen dwong het in Florida gevestigde bedrijf om ‘bepaalde systemen uit te schakelen’. Weken later zei LoanDepot dat de persoonlijke gegevens van ruim 16 miljoen individuen waren gecompromitteerd.
Fulton County
De beruchte LockBit-ransomwarebende claimde in januari een cyberaanval op Fulton County, de grootste provincie in Georgië met meer dan een miljoen inwoners. De aanval leidde tot wekenlange verstoringen in het hele land, waaronder IT-storingen die gevolgen hadden voor telefoonlijnen, de rechtbanken en belastingsystemen. LockBit publiceerde een schat aan gegevens uit de provincie Georgia, waaronder ‘vertrouwelijke documenten’, maar verwijderde deze claims later van zijn dark web-leksite, wat een indicatie kan zijn dat het slachtoffer de hackers losgeld heeft betaald. Terwijl de LockBit-bende beweerde dat Fulton County had betaald, veiligheidsexperts denk dat LockBit waarschijnlijk de meeste gegevens heeft verloren het was gestolen toen de De servers van de bende werden vervolgens de volgende maand in beslag genomen door de Amerikaanse en Britse wetshandhaving.
Zuidelijk Water
Britse nutsgigant Southern Water zei begin dit jaar dat het onderzoek deed een incident met gegevensdiefstal, vóór weken later bevestigen dat ransomware-hackers de persoonlijke gegevens van ruim 470.000 klanten hadden gestolen. De aanval op Southern Water, dat water- en afvalwaterdiensten levert aan miljoenen mensen in het zuidoosten van Engeland, werd opgeëist door de ransomwaregroep Black Basta, een aan Rusland gelieerde bende die eerder de eer opeiste voor een hack uit 2023 op de Britse outsourcinggigant Capita.
Februari
Verander de gezondheidszorg
Februari zag een van de grootste datalekken van het jaar – en veruit de grootste datalekken van Amerikaanse gezondheids- en medische gegevens in de geschiedenis. Gezondheidstechnologiebedrijf dat eigendom is van UnitedHealth Change Healthcare werd gehackt door de ALPHV-ransomwarebendedat destijds beweerde “miljoenen” gevoelige gezondheids- en patiëntinformatie van Amerikanen te hebben gestolen. Change Healthcare betaalde naar verluidt 22 miljoen dollar aan ALPHV voordat de bende in maart verdween, alleen voor de ALPHV-aannemer die de hack uitvoerde om een tweede losgeldbetaling te eisen van Verandering.
UnitedHealth gaf in april toe dat de hack daartoe had geleid een datalek dat een ‘aanzienlijk deel van de mensen in Amerika’ treft. Pas in oktober kwam UnitedHealth bevestigde dat minstens 100 miljoen mensen werden getroffen door het datalek, waarbij gevoelige gegevens betrokken waren, waaronder medische dossiers en gezondheidsinformatie, hoewel het precieze aantal getroffen personen naar verwachting veel hoger zal zijn.
Maart
Omni-hotels
Hotelketen Omni Hotels & Resorts sloot eind maart zijn systemen af na het identificeren van hackers op zijn netwerk, wat leidde tot wijdverbreide storingen in de eigendommen van Omni, waaronder telefoon- en wifi-problemen. In april kwam de hotelgigant bevestigd dat cybercriminelen de persoonlijke gegevens van zijn klanten hebben gestolen tijdens de ransomware-aanval in maart opgeëist door de productieve Daixin-bende. Volgens naar rapportenbeweerde deze bende 3,5 miljoen Omni-klantgegevens te hebben gestolen.
juni
Evolueer Bank
De in de VS gevestigde banking-as-a-service gigant Evolve Bank was het doelwit een ransomware-aanval in juni dat had een wijdverbreid effect op de bankklanten van Evolve en de fintech-startups die afhankelijk waren van de bank, waaronder Verstandig En Kwik. De LockBit-bende eiste de eer op voor de aanval op Evolve, waarbij de bende gegevens plaatste die zij beweerden te hebben gestolen van Evolve op de leksite op het dark web. In juli bevestigde Evolve dat de hackers de persoonlijke gegevens van minstens 7,6 miljoen mensen hadden verkregen, waaronder de burgerservicenummers, het bankrekeningnummer en contactgegevens van klanten.
Synnovis
De NHS werd in juni daarna gedwongen een kritiek incident te melden een ransomware-aanval over een grote pathologiedienstverlener, Synnovis. De cyberaanval leidde tot geannuleerde operaties en het omleiden van spoedeisende patiënten, en zorgde er ook voor dat de NHS een nationale oproep deed voor donoren van bloedgroepgroep O. in de weken die volgden vanwege vertragingen bij het afstemmen van bloed op patiënten als gevolg van de wekenlange uitval. De Qilin-ransomwarebende eiste de verantwoordelijkheid op voor de aanval en lekte uiteindelijk 400 gigabyte aan gevoelige gegevens die naar verluidt van Synnovis waren gestolen, of ongeveer 300 miljoen patiëntinteracties dateert al jaren en maakt het een van de grootste ransomware-aanvallen van het jaar.
juli
Columbus, Ohio
Ongeveer 500.000 inwoners van de stad Columbus, de hoofdstad van Ohio, beschikten over hun persoonlijke gegevens gestolen tijdens een ransomware-aanval in juli, inclusief namen, geboortedata, adressen, door de overheid uitgegeven identificatiedocumenten, burgerservicenummers en hun bankrekeninggegevens. Rhysida, de cybercriminaliteitsbende die vorig jaar verantwoordelijk was verwoestende cyberaanval op de British Libraryeiste de verantwoordelijkheid op voor de aanval op Columbus in augustus en zei dat het 6,5 terabyte aan gegevens uit de stad had gestolen.
september
Vervoer voor Londen
Transport for London, de overheidsinstantie die toezicht houdt op het openbaar vervoer in de Britse hoofdstad, ondervond dit weken van digitale ontwrichting na een cyberaanval op het bedrijfsnetwerk van de autoriteit in september, dat later werd opgeëist door de beruchte aan Rusland gelinkte Clop-ransomwaregroep. Hoewel het Londense transitnetwerk zonder problemen bleef functioneren, resulteerde het incident toch in de diefstal van bankgegevens van zo’n 5.000 klanten – en dwong de transitautoriteit om de inlogwachtwoorden van elk van zijn 30.000 werknemers handmatig opnieuw in te stellen.
oktober
Casio
De Japanse elektronicagigant Casio werd in oktober het slachtoffer van een cyberaanval. bevestigen aan TechCrunch dat het incident ransomware was. De cyberaanval, die werd opgeëist door de ondergrondse ransomwarebende, maakte verschillende systemen van Casio ‘onbruikbaar’, waardoor de verzending van producten wekenlang vertraging opliep. Bij de aanval werd ook persoonlijke informatie gestolen van werknemers, aannemers en zakenpartners van Casio, samen met gevoelige bedrijfsgegevens, waaronder facturen en personeelsbestanden. Casio zei dat de hackers ook toegang hadden tot “informatie over sommige klanten”, maar zei niet hoeveel er getroffen waren.
November
Blauw daarginds
Een november ransomware-aanval op Blue Yondereen van ‘s werelds grootste leveranciers van supply chain-software, had een domino-effect op verschillende grote Amerikaanse en Britse retailers. Twee van de grootste supermarktketens van Groot-Brittannië, Morrisons en Sainsbury’s, bevestigden tegenover TechCrunch dat ze hinder hadden ondervonden als gevolg van de ransomware-aanval. Ook de Amerikaanse koffiegigant Starbucks werd getroffen, waardoor winkelmanagers gedwongen werden het personeel handmatig te betalen. Blue Yonder heeft weinig gezegd over het incident, inclusief de vraag of er gegevens zijn gestolen, maar zowel de Clop-ransomwarebende en de nieuwere Termite-bemanning beweert dat het 680 gigabyte aan gegevens heeft gestolen van het gigantische bedrijf uit de toeleveringsketen, inclusief documenten, rapporten, verzekeringsdocumenten en e-maillijsten.
December
NHS-ziekenhuizen
Verschillende NHS werden in december (opnieuw) verstoord door ransomware nadat een productieve, aan Rusland gelinkte ransomwarebende genaamd Inc Ransom beweerde de Alder Hey Children’s Hospital Trust, een van de grootste kinderziekenhuizen van Europa, in gevaar te hebben gebracht. De Russische ransomwarebende, die op dezelfde manier inbreuk maakte een grote NHS-trust in Schotland eerder dit jaarbeweerde dat het patiëntendossiers en donorrapporten van Alder Hey had verkregen, samen met gegevens van verschillende andere ziekenhuizen in de nabije omgeving. Daarnaast werd het Wirral University Teaching Hospital – een andere NHS-locatie niet ver van Alder Hey – gedwongen een kritiek incident te melden nadat het eveneens het slachtoffer was geworden van ransomware.
Artivion
December bleef de maand voor op de gezondheidszorg gerichte aanvallen, zoals Artivion, een bedrijf in medische apparatuur dat implanteerbare weefsels voor harttransplantaties vervaardigt, deze maand bevestigd een “cyberveiligheidsincident” waarbij sprake was van de “verwerving en versleuteling” van gegevens – wat leest als ransomware. Artivion zei dat het bepaalde systemen offline heeft gehaald als reactie op de cyberaanval.
