Ransomware is een vorm van afperssoftware die bestanden versleutelt zodat slachtoffers geen toegang meer hebben tot hun systemen en gegevens. In veel gevallen kunnen versleutelde bestanden alleen worden hersteld door de persoon achter de ransomware te betalen voor een decoderingssleutel. Als het slachtoffer niet snel genoeg reageert op de losgeldeis, kan de aanvaller het losgeld verhogen of de decoderingssleutel verwijderen, waardoor de bestanden nooit meer kunnen worden teruggehaald.
Hoewel phishing nog steeds de meest voorkomende aanvalstactiek is, hebben bedreigingsactoren tactieken, technieken en procedures geïntroduceerd waarbij het slachtoffer niet eens op een schadelijke link hoeft te klikken of een kwaadaardig document hoeft te openen om geïnfecteerd te raken. In plaats daarvan maken ze gebruik van exploits, zoals Eternal Blue, en ongebruikelijke programmeertalen en onduidelijke gegevensindelingen1 om ransomware rechtstreeks op de systemen van slachtoffers te plaatsen. Zo krijgen ze de permanente toegang die ze nodig hebben om coderingssleutels te verkrijgen en betalingen te verwerken. Dergelijke aanvallen zijn ontworpen om netwerkbeveiligingscontroles te omzeilen die mogelijk verdacht verkeer kunnen detecteren en onderscheppen. Dit verkeer infecteert eerst de systemen en vervolgens externe C2-servers (command-and-control).
Als niet aan de losgeldeisen wordt voldaan, gebruiken bedreigingsactoren verschillende tactieken, zoals gegevensexfiltratie en dreigen ze gegevens van slachtoffers openbaar te maken of zelfs naar wethandhavingsinstanties te sturen. In december 2019 begon de Maze-ransomwaregroep op een speciale website bijvoorbeeld met het publiceren van fragmenten van gegevens die zouden zijn gestolen van slachtoffers.2
Hoewel de politie slachtoffers adviseert om niet te betalen, doen veel bedrijven dit toch. Dit is afhankelijk van de mate waarin hun activiteiten worden beperkt, de potentiële impact op klanten en aandeelhouders, de relatieve kosten van herstelwerkzaamheden en de mate waarin de openbaarmaking van gegevens kan leiden tot boetes of schade aan het merk of de reputatie van de organisatie.