Bijna zestig procent van alle statelijke cyberaanvallen vinden plaats vanaf Russische bodem. De effectiviteit van deze aanvallen is in een jaar tijd gestegen van 21 naar 32 procent. Zo blijkt uit het tweede Microsoft Digital Defense Report.
De rapportage bestrijkt het interval van juli 2020 tot en met juni 2021. De Russen richten zich steeds vaker op overheidsinstanties voor het verzamelen van inlichtingen. Deze doelwitten stegen van drie procent een jaar geleden naar 53 procent; grotendeels instanties die betrokken zijn bij buitenlands beleid, nationale veiligheid of defensie. De top drie van landen die het doelwit waren van de Russische overheid zijn de VS, Oekraïne en het VK.
Rusland is niet de enige nationale speler die zijn aanpak aanpast, en spionage is dit jaar niet het enige doel van aanvallen door nationale staten.
Spionage
Na Rusland kwamen de meeste aanvallen uit Noord-Korea, Iran en China; Zuid-Korea, Turkije (een nieuwkomer in de rapportage) en Vietnam waren ook actief, maar met een kleiner volume.
Hoewel spionage het meest voorkomende doel is van aanvallen door natiestaten, blijkt uit de activiteiten van sommige aanvallers dat zij ook andere doelen nastreven. Zo verviervoudigde Iran in het afgelopen jaar zijn aandacht voor Israël en lanceerde het tal van destructieve aanvallen als gevolg van de verhoogde spanningen tussen beide landen. Noord-Korea, waarvan de economie werd gedecimeerd door sancties en Covid-19, concentreerde zich op cryptocurrency-bedrijven om zoek naar financieel gewin.
Een vijfde van de aanvallen uit verschillende landen was gericht op consumenten. Aan de andere kant waren organisaties het doelwit, waarbij de overheid (48%), ngo’s en denktanks (31%), onderwijs (3%), intergouvernementele organisaties (3%), it (2%), energie (1%) en media (1%) de meest getroffen sectoren waren.
Hoewel China niet uniek is in zijn doelstelling om informatie te verzamelen, is het opvallend dat verschillende Chinese actoren gebruik hebben gemaakt van een reeks voorheen onbekende kwetsbaarheden. Er is veel publiciteit geweest over Hafnium-aanvallen op on-premises Exchange Servers, maar naast de zero-day-kwetsbaarheid die bij die aanvallen werd gebruikt, heeft Microsoft eerder dit jaar een Pulse Secure VPN zero-day en een SolarWinds zero-day ontdekt en gemeld, die beide door Chinese actoren werden misbruikt.
Ransomware
Tom Burt, Corporate Vice President, Customer Security & Trust bij Microsoft schrijft in zijn blog over het onderzoek dat ransomware nog steeds een van de grootste bedreigingen is en dat deze vorm van cybercriminaliteit het afgelopen jaar verder is geëvolueerd om nog ontwrichtender te worden. “ In plaats van zich te richten op geautomatiseerde aanvallen die afhankelijk zijn van volume en gemakkelijk te betalen lage eisen om winst te genereren, maakt door mensen bediende ransomware gebruik van online verzamelde informatie, het stelen en bestuderen van financiële en verzekeringsdocumenten van een slachtoffer en het onderzoeken van gecompromitteerde netwerken om doelwitten te selecteren en veel hogere eisen voor het losgeld te stellen”, stelt Burt.
Hoopgevend
Volgens Burt zijn er drie hoopgevende trends die het cybercriminelen lastiger maken. Als eerste noemt de Amerikaanse regering die ongekende stappen heeft ondernomen om cyberbeveiliging aan te pakken met gebruikmaking van reeds bestaande wetten en bevoegdheden.
Ten tweede voeren overheden over de hele wereld nieuwe wetten in en nemen ze nieuwe wetten aan die bijvoorbeeld verplichte melding voorschrijven wanneer organisaties cyberaanvallen ontdekken, zodat de bevoegde overheidsinstanties de omvang van het probleem kunnen inschatten en incidenten met hun middelen kunnen onderzoeken.
Ten derde treden zowel overheden als bedrijven vrijwillig naar buiten wanneer zij het slachtoffer zijn van aanvallen. “ Deze transparantie helpt iedereen het probleem beter te begrijpen en maakt een grotere betrokkenheid van de overheid en de eerstehulpverleners mogelijk’, aldus Burt.
Microsoft verwacht dat meer landen zich gaan bezighouden met offensieve cyberoperaties, en dat die operaties brutaler, hardnekkiger en schadelijker zullen worden, tenzij er ernstiger gevolgen zijn. ‘De markt voor cybercriminaliteit zal steeds geraffineerder en gespecialiseerder worden, tenzij wij allen ons werk om ze te stoppen verder ontwikkelen. Er wordt meer dan ooit gewerkt om deze problemen aan te pakken, maar we zullen ervoor moeten zorgen dat ze de komende jaren boven aan de nationale en internationale agenda blijven staan.’
