Een tijdlijn van de grootste ransomware-aanvallen

A timeline of the biggest ransomware attacks

Bitcoin and other cryptocurrencies have become an important tool in online crime.

The history of the generation is riddled with accidental consequences. As William Gibson wrote in Burning Chrome, “…The street finds its own use for things.” While Bitcoin may not have been conceived as a medium for ransom payments in the beginning, it is quickly becoming a primary device for online criminals.

Ransomware, a class of “malware”, blocks access to a computer or community until a ransom is paid. Despite evolving efforts by governments to adapt cryptocurrency and reduce their foothold in ransomware accounts, the attacks keep coming.

According to Chain analysis, cryptocurrency ransomware bills totaled approximately $350 million in 2020, an annual growth rate of more than 300% as of 2019. And due to the fact, US groups are legally required to document cyber attacks most effectively as the non-public ones. data are compromised, that estimate may be far too conservative.

Kasey (2021)

Op 2 juli 2021 introduceerde Kaseya dat haar structuren waren geïnfiltreerd. Kaseya biedt IT-oplossingen voor andere bedrijven — een perfect doelwit dat, in een domino-effect, uiteindelijk gevolgen had voor ongeveer 1.500 bureaus op meer dan één internationale locatie. REvil, een cybercrimineel, eiste de dienst op voor de aanval en eiste losgeld variërend van een paar duizend dollar tot een paar honderdduizenden, in overeenstemming met een Reuters-bestand.

Het is onduidelijk hoeveel individuele bedrijven hebben betaald, maar REvil eiste $ 70 miljoen aan bitcoin van Kaseya. Kaseya weigerde te betalen en koos ervoor om samen te werken met de FBI en het Amerikaanse Cybersecurity and Infrastructure Agency. Op 21 juli 2021 verkreeg Kaseya een typische decryptorsleutel en verstrekte deze aan bedrijven die door de aanval werden getroffen.

JBS (2021)

Op 31 mei 2021 maakte JBS USA, een van de belangrijkste vleesleveranciers in de VS, een hack bekend die ertoe leidde dat het de activiteiten van zijn vijf grootste, volledig in de VS gevestigde, volledig plantaardige leven tijdelijk stopzette. De ransomware-aanval verstoorde ook de activiteiten van het bedrijf in Australië en het VK. JBS betaalde de hackers een losgeld van $ elf miljoen in Bitcoin om extra verstoring te voorkomen en de impact op supermarkten en restaurants te beperken. De FBI schreef de hack toe aan REvil, een gecompliceerde criminele bende die beroemd is vanwege ransomware-aanvallen.

Koloniale pijpleiding (2021)

Op 7 mei 2021 ging Amerika’s grootste pijplijn met “subtiele koopwaar” offline nadat een hackgroep die bekend staat als Darkside deze had geïnfiltreerd met ransomware. Colonial Pipeline bestrijkt meer dan vijf.500 mijl en vervoert elke dag meer dan honderd miljoen gallons brandstof. Het effect van de aanval veranderde in groot: in de tijd die ermee gepaard ging, versnelde de gemiddelde snelheid van een gallon brandstof in de VS voor de eerste keer in zeven jaar tot meer dan $ drie terwijl chauffeurs naar de pompen renden.

De pijpleidingbeheerder zei dat het de hackers $ 4,4 miljoen aan cryptocurrency heeft betaald. Op 7 juni 2021 maakte het DOJ bekend dat het een deel van het losgeld had teruggekregen. Amerikaanse wetshandhavingsfunctionarissen zijn in staat geweest om de aanklacht te volgen en $ 2. Drie miljoen terug te nemen voor het gebruik van een niet-openbare sleutel voor een cryptocurrency-portemonnee.

Brenntag (2021)

Op 28 april 2021 ontdekte de Duitse chemische distributeur Brenntag dat dit het doel werd van een cyberaanval door middel van Darkside, die 150 GB aan statistieken stal die dreigden te lekken als niet aan de losgeldbehoeften werd voldaan. Na met de criminelen te hebben onderhandeld, onderhandelde Brenntag uiteindelijk over het unieke losgeld van $ 7,5 miljoen tot $ 4,4 miljoen, dat het op elf mei betaalde.

CNA Financieel (2021)

Op 23 maart 2021 maakte CNA Financial, de zevende grootste commerciële verzekeraar in de VS, bekend dat het “een gecompliceerde cyberbeveiligingsaanval had volgehouden”. De aanval werd bereikt door een groep die Phoenix wordt genoemd en die ransomware gebruikt die Phoenix Locker wordt genoemd. CNA Financial betaalde uiteindelijk in mei $ veertig miljoen om de informatie opnieuw te krijgen. Terwijl CNA de mond vol heeft gehouden over de informatie van de onderhandeling en transactie, maar zegt dat al zijn systemen in het zicht zijn dat absoluut hersteld is.

CWT (2020)

Op 31 juli 2020 maakte CWT, een Amerikaans bedrijf voor reisbeheer voor commerciële ondernemingen, bekend dat het was getroffen door een ransomware-aanval die zijn structuren deed ontvlammen, en dat het het losgeld had betaald. Met behulp van ransomware genaamd Ragnar Locker beweerden de aanvallers dat ze gevoelige bedrijfsbestanden hadden gestolen en 30.000 bedrijfscomputers offline hadden geslagen.

Als dienstverlener aan één-0,33 van S&P 500-bedrijven, had de lancering van gegevens rampzalig kunnen zijn voor de commerciële onderneming van CWT. Als zodanig betaalde het bedrijf de hackers ongeveer $ 4,5 miljoen op 28 juli, enkele dagen eerder dan Reuters het incident meldde.

De Universiteit van Californië in San Francisco (2020)

Op 3 juni 2020 maakte de Universiteit van Californië in San Francisco bekend dat de IT-structuren van de Amerikaanse School of Medicine op 1 juni zijn gecompromitteerd door middel van een hackcollectief genaamd Netwalker. De medische onderzoeksinstelling liep op behandeling voor COVID .

Blijkbaar had Netwalker UCFS onderzocht, in de hoop inzicht te krijgen in de financiën. Onder verwijzing naar de miljarden dollars die UCFS rapporteert aan jaarlijkse verkopen, eiste Netwalker een losgeld van $ drie miljoen. Na onderhandelingen betaalde UCSF Netwalker het bitcoin-equivalent van $1, honderdveertig,895 om de cyberaanval op te ruimen. Volgens de BBC werd Netwalker ook geïdentificeerd als de dader in ten minste twee andere 2020 ransomware-aanvallen gericht op universiteiten.

Travelex (2019)

Op oudejaarsavond 2019 werd de in Londen gevestigde buitenlandse valutahandel Travelex geïnfiltreerd via een ransomware-organisatie genaamd Sodinokibi (ook bekend als REvil). De aanvallers gingen aan de haal met 5 GB aan kopersstatistieken, bestaande uit geboortedata, creditcardgegevens en verzekeringsgegevens. Travelex heeft zijn website op 30 internationale locaties uit de lucht gehaald in een poging het virus te bedwingen.

Na de ransomware-aanval worstelde Travelex met de klantenservice. Sodinokibi eiste om te beginnen een aanklacht van $ 6 miljoen (£ vier,6 miljoen). Na onderhandelingen betaalde Travelex de cybercriminelen $ 2,3 miljoen (285 BTC destijds, ongeveer £ 1,6 miljoen) om weer statistieken te krijgen.

WannaCry (2017)

In mei 2017 heeft ransomware, ook wel WannaCry genoemd, computers over de hele wereld in brand gestoken door gebruik te maken van een kwetsbaarheid in Windows-pc’s. De WannaCry-kwetsbaarheid werd onthuld door een enorm lek van NSA-documenten en hackingapparatuur die in april 2017 was ontwikkeld met behulp van een collectie genaamd Shadow Brokers.

Hoewel het exacte aantal WannaCry-slachtoffers onbekend is, waren meer dan 200.000 computers over de hele wereld ontstoken. Slachtoffers bedekten het Spaanse telecommunicatiebedrijf Telefónica en veel ziekenhuizen in het VK. Computerstructuren op 150 internationale locaties leden onder de aanval, met een geschat totaal tekort van ongeveer $ 4 miljard wereldwijd.

Om te beginnen eisten de aanvallers driehonderd dollar in bitcoin om geïnfecteerde laptopstructuren vrij te maken. De vraag veranderde later naar $ zeshonderd in bitcoin. Een paar onderzoekers beweren echter dat niemand hun informatie heeft teruggekregen, zelfs niet als ze aan de eisen voldeden.

WannaCry-aanvallen blijven op dit moment bestaan. In februari 2021 heeft het DOJ drie Noord-Koreaanse laptopprogrammeurs aangeklaagd voor zijn of haar vermeende functie bij de WannaCry-uitbraak.

Locky (2016)

Locky, ontdekt in februari 2016, is uitstekend vanwege de duidelijk buitensporige grote verscheidenheid aan infectiepogingen die het op pc-netwerken doet. Aanvallen komen meestal in de vorm van een e-mail met een rekening van een persoon die beweert een werknemer te zijn in een onderneming. Op 16 februari 2016 stelde een evaluatie van Check Point meer dan 50.000 Locky-aanvallen op één dag vast.

Locky heeft veel edities, maar het doel is in principe hetzelfde: vergrendel laptopbestanden om eigenaren te betrappen op het betalen van losgeld in cryptocurrency als alternatief voor een decoderingsapparaat, waardoor gebruikers weer toegang krijgen tot hun vergrendelde bestanden. De meerderheid van de Locky-patiënten bevindt zich in de VS, en met name bij fitnesszorgbedrijven, maar Canada en Frankrijk hebben ook enorme infectiekosten gehad.

TeslaCrypt (2015)

Gemodelleerd naar een eerdere applicatie genaamd CryptoLocker, werden de vroegste TeslaCrypt-samples verspreid in november 2014, maar de ransomware veranderde in nu pas in maart van het daaropvolgende jaar.

TeslaCrypt om te beginnen met gefocuste game-enthousiastelingen. Na het infecteren van een pc, kan een pop-up een gebruiker ertoe brengen een losgeld van $ 500 in bitcoin te betalen voor een decoderingssleutel om de ontstoken machine te bevrijden. Andere activa registreren dat het gevraagde losgeld varieerde van $ 250 tot $ duizend in Bitcoin. In mei 2016 lanceerden de bouwers van TeslaCrypt een decoderingssleutel waarmee de getroffen gebruikers hun computers konden vrijgeven.

CryptoWall (2014)

In 2014 verschenen wijdverbreide beoordelingen van computersystemen die waren geïnfecteerd met de CryptoWall-ransomware. Geïnfecteerde computersystemen hebben geen toegang tot documenten kunnen krijgen, tenzij de eigenaar heeft betaald voor toegang tot een decoderingstoepassing. CryptoWall had gevolgen voor systemen over de hele wereld. De aanvallers eisten prijzen in de vorm van prepaidkaarten of bitcoin. CryptoWall veroorzaakte ongeveer $ 18 miljoen aan schade, volgens Help Net Security. Er zijn meerdere varianten van CryptoWall gelanceerd, waarbij elk model de ransomware moeilijker maakt om te hinten en te bestrijden.

CryptoLocker (2013)

De eerste keer dat een groot deel van de arena de term ‘ransomware’ hoorde, was tijdens de CryptoLocker-uitbraak in 2013. Begin september 2013 ontdekt, kan CryptoLocker de komende 4 maanden mogelijk meer dan 250.000 pc-structuren verlammen. Slachtoffers kregen het advies om betalingen in cryptocurrency of geldkaarten te verzenden om weer de juiste toegang te krijgen. De ransomware werd voor minimaal drie miljoen dollar geïntroduceerd bij de daders.

Een multinationale wetshandhavingspoging in 2014 slaagde erin het Gameover ZeuS-botnet uit te schakelen, dat een nummer één distributietechniek voor CryptoLocker werd. Het DOJ heeft de Russische hacker Evgeniy Mikhailovich Bogachev aangeklaagd als leider van het botnet. Bogachev is nog steeds op vrije voeten — en de FBI looft momenteel een beloning uit van maar liefst $ 3 miljoen voor feiten die leiden tot zijn arrestatie en/of veroordeling.

AIDS-trojan/PC Cyborg (1989)

Algemeen beschouwd als de sjabloon voor alle volgende aanvallen, is de AIDS Trojan (ook bekend als PC Cyborg) het eerste beschouwde voorbeeld van een ransomware-aanval. In 1989, meer dan een decennium eerder dan de creatie van bitcoin, wees een bioloog genaamd Joseph Popp 20.000 diskettes toe op de AIDS-conferentie van de Wereldgezondheidsorganisatie in Stockholm. De diskettes waren gecategoriseerd als “AIDS-informatie – Inleidende diskettes” en bevatten een trojan-virus dat zichzelf op MS-DOS-systemen installeerde.

Once the virus landed on a computer, it counted the times the PC started up. When the PC booted 90 times, the virus hid all folders and encrypted file names. A photo on the display of the ‘PC Cyborg Corporation’ instructed customers to send $189 to a PO address in Panama. The decryption technique became extremely simple, but and security researchers released a free device to help victims.