Orange Cyberdefense, de cybersecurity-unit van de Orange Group, heeft vandaag een nieuw verslag gepubliceerd: Cy-Xplorer 2023. Daarin worden de cyberafpersingsactiviteiten van 2022 diepgaand geanalyseerd. In totaal zijn de gegevens van 6.707 getroffen bedrijven onderzocht. Uit de resultaten blijkt dat het aantal slachtoffers in verschillende landen en sectoren schommelt, en dat de aanvallen uitbreiden naar nieuwe regio’s. Volgens de gegevens is het aantal slachtoffers van Cy-X in 2022 gedaald (8%). Die daling was echter van korte duur, want uit de meest recente gegevens blijkt dat het eerste kwartaal van 2023 een recordaantal slachtoffers kent.
Aangezien de Cy-X-aanvallen blijven toenemen, suggereert het verslag dat 2022 een jaar van ‘afleiding’ en rebranding was voor enkele grote Cy-X-groeperingen die Orange Cyberdefense in het oog houdt.
Het aantal incidenten piekt nu Cy-X-activiteiten zich uitbreiden naar landen die voordien gespaard bleven
De geografische verschuiving van Cy-X-aanvallen heeft zich voortgezet, zoals al werd opgemerkt in de Security Navigator 2023. De grootste stijging in vergelijking met het vorige jaar liet zich optekenen in Zuidoost-Azië (42%), waar Indonesië, Thailand, de Filippijnen en Maleisië de zwaarste klappen kregen. Tegelijkertijd vermindert het aantal slachtoffers in regio’s zoals Noord-Amerika en Europa.
Vroeger zagen we dat landen vaak vanuit een opportunistisch oogpunt geviseerd werden, en dat het aantal slachtoffers hoofdzakelijk afhing van het aantal bedrijven dat geregistreerd was in een land. Die algemene trend is nu aan het veranderen, aangezien grotere westerse landen actief op de dreiging reageren, en bedreigers genoodzaakt zijn om nieuwe jachtgebieden te zoeken. Die laatstgenoemden focussen daarom op regio’s waar het risico voor hen kleiner is, bijvoorbeeld omdat de lokale overheden niet proactief genoeg optreden.
Het Cy-X-ecosysteem is door de oorlog in Oekraïne net zozeer overhoop gehaald als andere gebieden in de cyberspace
De gegevens in het verslag tonen aan dat de oorlog een merkbare impact heeft gehad op Cy-X. De activiteiten verminderden en bedreigers moesten zich hergroeperen alvorens hun aanvallen verder te zetten.
Door de geopolitieke spanningen die voortvloeien uit de oorlog in Oekraïne, hebben veel landen een kant gekozen in het conflict. Er werd dan ook verwacht dat Cy-X dezelfde patronen zou volgen. Sterker nog, volgens onze bevindingen behoorde 74% van alle slachtoffers in 2022 tot NAVO-landen. In het begin van de oorlog namen de Cy-X-aanvallen op NAVO-landen echter merkbaar af, en bleef het aantal dalen naarmate de oorlog vorderde. De activiteiten van pro-Russische bedreigers in deze periode resulteerden dus niet in een evenredige toename van Cy-X-slachtoffers in NAVO-landen.
In het eerste kwartaal van 2023, en in het bijzonder in maart 2023, zagen we echter een dramatische verandering en keerde de trend. Dat blijkt uit de piek in activiteiten van bedreigers. Of deze stijging zich zal voortzetten, is moeilijk te voorspellen.
Hoewel we hadden verwacht dat meer bedrijven in NAVO-landen getroffen zouden worden, stelden we exact het tegenovergestelde vast. In regio’s die niet tot de NAVO behoren, zoals Latijns-Amerika (+32%) en Zuidoost-Azië, steeg namelijk het aantal slachtoffers. Hoe dat in verband kan worden gebracht met de situatie in Oekraïne is niet helemaal duidelijk, maar we kunnen wel met enige zekerheid zeggen dat de oorlog niet geleid heeft tot meer Cy-X-incidenten in NAVO-landen, die tot nu toe minder getroffen zijn.
Bedreigers veranderen hun tactiek – ze verschuiven hun aandacht van de productiesector naar nutsvoorzieningen en onderwijs
In 2022 werd de productiesector het zwaarst getroffen: ruwweg een vijfde van alle slachtoffers was immers in deze sector actief. Toch zagen we hier een daling van 39%, en lag het aantal slachtoffers in de tweede helft van dat jaar aanzienlijk lager. Een reden voor deze forse daling is hoogstwaarschijnlijk de stopzetting van de criminele activiteiten van de groep Conti.
De onderwijssector heeft het in 2022 veel zwaarder te verduren gekregen in vergelijking met het jaar ervoor, met 41% meer aanvallen. De groep Vice Society was daarbij de grootste boosdoener. Per maand werden ongeveer tien organisaties van deze sector op het darkweb blootgesteld. De vijf zwaarst getroffen landen waren de VS, het VK, Spanje, Frankrijk en Australië.
We zagen ook dat de aanvallen in de nutssector met 51% toenamen, maar het eigenlijke aantal vastgestelde slachtoffers in 2022 bleef laag (35 slachtoffers).
Daarnaast brengt het verslag aan het licht dat Cy-X-aanvallen op de financiële sector zijn toegenomen (+11%): meer dan 130 financiële instellingen waren de dupe. 75% van alle slachtoffers heeft minder dan 1.000 medewerkers.
Wat de omvang van de bedrijven betreft, stelden we vast dat grote organisaties het vaakst getroffen werden in 2022: zij waren goed voor 36% van alle slachtoffers. Kleine en middelgrote organisaties zaten hen echter op de hielen. Volgens onze gegevens was 30% van alle slachtoffers een kleine organisatie, en 24% een middelgrote.
Pogingen om Cy-X te verstoren, meer wetshandhaving
Omdat aanvallen consistent een hoge impact hebben, beginnen overheden overal ter wereld meer actie te ondernemen. Sommige landen verbieden bedrijven die op hun grondgebied werkzaam zijn om losgeld te betalen. In de VS, Australië en elders hebben autoriteiten verscheidene officiële verklaringen afgelegd waarin ze buitenlandse bedreigers veroordelen. Wetshandhavers hinken nog steeds achterop, maar beginnen wel bij te benen en de activiteiten van bedreigers steeds meer te verstoren.
We zien dan ook positieve ontwikkelingen nu wetshandhavers en overheden actie ondernemen om het ecosysteem aan het wankelen te brengen. Dat doen ze door criminelen op te pakken, de infrastructuur neer te halen, geld in beslag te nemen, internationale sancties op te leggen, ontsleuteltools voor slachtoffers te ontwikkelen, en bedreigers terug te hacken.
“Hoewel de groei van het aantal aanvallen afnam in 2022, blijkt uit het eerste kwartaal van 2023 dat we niet op onze lauweren mogen rusten. Ons onderzoek toont aan dat een samenwerking tussen de sectoren en overheden essentieel is om kwaadaardige cyberactiviteiten de kop in te drukken. Cy-X is immers een probleem dat bedrijven niet in hun eentje kunnen oplossen. Het valt nog te bezien welke impact geopolitieke gebeurtenissen zoals de oorlog in Oekraïne zullen hebben op de cyberspace, maar we moeten meer initiatief nemen op overheidsniveau als we het alomtegenwoordige gevaar van bedreigers willen aanpakken”, zegt Filip Verstockt, General Manager bij Orange Cyberdefense Belgium.
“Ondanks de toename van slachtoffers in het eerste kwartaal van 2023, is er hoop dat aanhoudende inspanningen tegen Cy-X meer positieve resultaten en overwinningen later dit jaar zullen opleveren. Maar om dat waar te maken, moeten we als sector samenwerken en informatie over bedreigingen en aanvallen blijven delen”, aldus Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense. “De verdeling van slachtoffers in landen en sectoren verandert, maar volgt tevens duidelijke trends. We zijn er dan ook van overtuigd dat de samenwerking tussen de publieke en privésector verbeterd kan worden om zo een eengemaakt front tegen deze soort misdaad te vormen.”
Al sinds 2020 volgt Orange Cyberdefense cyberafpersingsactiviteiten op, en tot op heden hebben we informatie over meer dan 6.500 slachtoffers verzameld. In dit verslag kunt u de volledige methodologie raadplegen.