Ransomware blijft een van de meest voorkomende vormen van cybercriminaliteit. Cybersecuritybedrijf Kaspersky schatte de schade van aanvallen met gijzelsoftware in 2024 op ruim drie miljard dollar. Het gaat hierbij zowel om betaald losgeld als schade door onderbreken van bedrijfsfunctionaliteit. Deze aanvallen worden vaak georganiseerd vanuit internationaal opererende netwerken. Een zo'n netwerk, Anubis, heeft nu een nieuwe stok achter de deur.
Anubis is een Ransomware-as-a-Service (RaaS) netwerk dat sinds december 2024 actief is. RaaS netwerken kunnen worden ingezet door kwaadwillenden die zelf geen technische kennis hebben. Het RaaS netwerk levert de middelen voor de aanval, en deelt in de winst terwijl het minder risico loopt dan het gedaan zou hebben als meer actieve participant. Anuibis opereert volgens een standaardprocedure van dubbele chantage: kopieer bedrijfsgevoelige bestanden, vergrendel ze lokaal, en vraag losgeld om de vergrendeling op te heffen én om de gestolen bestanden niet publiek te maken.
Cybersecuritybedrijf Trend Micro meldt echter een aanvullende manier waarop de door Anubis aangeboden ransomware bedrijven bedreigt. De software die het RaaS-netwerk verspreidt, bevat namelijk ook een module die bestanden kan vernietigen. Wordt deze geactiveerd, dan wist de software de inhoud van alle bestanden. De bestaande map- en bestandstructuur blijft intact, maar de inhoud gaat compleet verloren.
Dit lijkt erop te duiden dat ransomware steeds brutaler wordt. Het mogelijk wissen van bestanden kan gebruikt worden als drukmiddel om sneller en meer te betalen, maar ook als afschrikkingsmiddel. Door Anubis verspreide ransomware waarschuwt slachtoffers om niet te proberen de versleutelde bestanden zelf terug te krijgen. Wordt dat wel geprobeerd, dan wordt alles gewist. Naast de schade die op deze manier wordt toegebracht, kunnen op deze manier ook digitale forensische sporen worden uitgewist. Het gevaar bestaat dat ook na betaling alsnog bestanden worden gewist, om opsporing te bemoeilijken.
Het is daarom belangrijker dan ooit om bij een ransomware-aanval aangifte te doen. Ook benadrukt deze nieuwe manier van aanvallen het belang van het bijhouden van back-ups, zeker back-ups die geïsoleerd zijn van de dagelijkse IT-systemen van een organisatie. Op deze manier kan zelfs bij het wissen van de versleutelde gegevens bedrijfscontinuïteit behouden worden. Ransomware blijft een van de meest voorkomende vormen van cybercriminaliteit. De Nederlandse overheid ondersteunt ondernemers bij de preventie van dit soort aanvallen, bijvoorbeeld via informatiepagina's van het Digital Trust Center en het Whitepaper Ransomware.