Nieuwe rapporten van Europol en de Britse National Crime Agency (NCA) die laten zien hoe de strijd tegen cybercriminaliteit wordt gevoerd – door ESET geanalyseerd
6 september 2023 – Rechtshandhaving blijft een integraal onderdeel in de strijd tegen behendige en steeds beter uitgeruste tegenstanders. Ook consumenten en bedrijven kunnen, en moeten, hun verdediging blijven verbeteren. Leveranciers kunnen ook een belangrijke rol spelen door opkomende bedreigingen te onderzoeken en bescherming in producten in te bouwen. Ze kunnen de politie helpen (help police monitor, disrupt and take down) door slechteriken te monitoren, ze te storen en uit te schakelen – en uiteindelijk de boodschap verspreiden dat cybercriminaliteit niet loont.
Nieuwe rapporten van Europol en de Britse National Crime Agency (NCA) laten zien hoe deze strijd gevoerd wordt. Ze bieden ook een momentopname van het dreigingslandschap en van de mensen en organisaties die zeer dicht bij de actie staan. Er is ook heel wat informatie waarmee zowel IT-managers als consumenten rekening moeten houden.
5 trends om in de gaten te houden
1) Natiestaten werken samen met cybercriminelen
Door de staat gesponsorde activiteiten en cybercriminaliteit waren jarenlang verschillende terreinen. De eerste gingen over cyberspionage en/of destructieve aanvallen met geopolitieke en militaire doeleinden. De laatste concentreerden zich op het verdienen van geld.
Zorgwekkend genoeg ziet de NCA steeds meer convergentie tussen de twee. Het uit zich niet enkel in het feit dat sommige actoren cybercriminaliteitstechnieken gebruiken om geld te stelen voor de staat. Of in het feit dat sommige regeringen een oogje dichtknijpen voor de activiteiten van ransomware en andere groepen. “Het afgelopen jaar zien we dat vijandige staten georganiseerde misdaadgroepen, niet altijd van dezelfde nationaliteit, als proxy’s beginnen te gebruiken”, zegt NCA-baas Graeme Biggar. “Deze evolutie houden wij en onze collega’s van MI5 en CT [terrorismebestrijding] constant in de gaten.”
Het is niet de eerste keer dat experten, zoals ESET en o.a. HP, een sterkere band tussen de georganiseerde misdaad en natiestaten hebben opgemerkt. Drie maanden geleden beschreef ESET Research een interessant geval: de groep Asylum Ambuscade, die zich op de grens tussen misdaad en spionage positioneert.
Wordt de strategie echter wijdverspreid, dan zal het toeschrijven van inbreuken moeilijker maken, terwijl criminele groepen mogelijk ook meer grondige kennis gaan verzamelen.
2) Gegevensdiefstal voedt een fraude-epidemie
Volgens de NCA is fraude in het VK nu verantwoordelijk voor 40% van alle criminaliteit. In 2022 was driekwart van de volwassenen het doelwit via telefoon, persoonlijk of online. Dit komt gedeeltelijk voort uit een stroom gecompromitteerde gegevens die op het darkweb terechtkomen. Europol zegt dat gegevens het ‘centrale goed’ zijn van de cybercriminaliteitseconomie, waardoor afpersing (bijvoorbeeld ransomware), social engineering (bijvoorbeeld phishing) en nog veel meer wordt aangedreven.
De gegevens die op deze marktplaatsen worden verkocht, zijn niet enkel statische informatie zoals kaartgegevens, maar ook samengesteld uit data van het toestel van een slachtoffer, aldus Europol. Bij de bevoorradingsketen voor cybercriminaliteit, gaande van gegevensdiefstal tot fraude, kunnen veel actoren betrokken zijn, van initiële toegangsmakelaars (IAB’s) en hosters tot leveranciers van antimalware- en versleutelingsdiensten.
Deze op diensten gebaseerde economie is bijzonder efficiënt. De NCA beweert echter dat ze ook wetshandhavers kunnen helpen door “een rijk doelwit aan te bieden dat, eens verstoord, een omgekeerd evenredige impact heeft op het criminele ecosysteem.”
3) Dezelfde slachtoffers zijn vaak opnieuw het doelwit
De manier waarop de ondergrondse cybercriminaliteit werkt, betekent dat zelfs organisaties die net gehackt werden (organizations that have just been breached) niet mogen denken dat het ergste achter de rug is: IAB’s verkopen toegang tot dezelfde organisaties aan meerdere bedreigingsactoren. Er is meestal geen exclusiviteitsclausule in de deals opgenomen. Dat betekent dat dezelfde reeks gecompromitteerde bedrijfsreferenties bij meerdere bedreigingsactoren kunnen circuleren, zegt Europol.
Fraudeurs kunnen ook steeds beter hun slachtoffers uitbuiten. Beleggingsoplichters kunnen met slachtoffers contact opnemen nadat ze hun geld hebben gestolen. Ze doen zich voor als advocaten of politie. Deze vertrouwde functionarissen bieden hulp aan het getraumatiseerde bedrijf, maar dan wel tegen betaling.
4) Phishing blijft bijzonder efficiënt
Phishing is al jaren een van de belangrijkste bedreigingsvectoren en blijft favoriet om inloggegevens en persoonlijke informatie te verkrijgen, maar ook om heimelijk malware in te zetten. Het blijft populair en efficiënt omdat mensen de zwakste schakel in de veiligheidsketen zijn, zegt Europol. Naast het op afstand brute forceren en exploiteren van VPN-bugs, via het remote desktop protocol (RDP), zijn van malware voorzien phishing-e-mails de meest gebruikelijke manier om toegang te krijgen tot bedrijfsnetwerken, aldus het rapport.
Er zijn helaas weinig tekenen dat aanvallers overstappen op andere tactieken – toch niet zolang phishing zo efficiënt blijft. Het wijdverspreide gebruik van phishing-kits helpt bij automatiseren en verlaagt lat voor minder technisch bekwame cybercriminelen. Europol zegt dat generatieve AI-tools al ingezet worden om deepfake-video’s te maken en meer realistische phishing-berichten te schrijven.
5) Crimineel gedrag wordt steeds normaler onder jongeren
Darkwebsites zijn altijd een plek geweest waar niet alleen gestolen gegevens en hacktools, maar ook kennis wordt verhandeld. Volgens Europol blijft dit zo: gebruikers zoeken en ontvangen aanbevelingen over hoe ze detectie kunnen voorkomen en hoe ze aanvallen effectiever kunnen maken. Tutorials, FAQs en handleidingen bieden hulp bij fraudecampagnes, witwassen van geld, seksuele uitbuiting van kinderen, phishing, malware en nog veel meer.
Nog zorgwekkender zijn ondergrondse sites en fora – waarvan sommige ook op het normale web opereren – die gebruikt worden om vers bloed te verwerven, aldus Europol. Vooral jongeren zijn blootgesteld: een door Europol aangehaald rapport uit 2022 (a 2022 report) beweert dat 69% van de Europese jongeren minstens één vorm van cybercriminaliteit of online schade beging of risico’s nam, zoals het witwassen van geld en digitale piraterij.
Wetshandhaving is slechts een stukje van de puzzel. We hebben andere groepen van de samenleving nodig, die in de strijd tegen cybercriminaliteit hun steentje moeten bijdragen. En we moeten allemaal beter gaan samenwerken, net zoals de slechteriken dat doen.