Fortinet publiceert een nieuw threat intelligence-rapport getiteld “Threat Actors Targeting the 2024 U.S. Presidential Election”. Dit rapport van zijn onderzoeksdivisie FortiGuard Labs bevat een analyse van cyberbedreigingen die zich in aanloop naar de Amerikaanse presidentsverkiezingen op bedrijven, overheidsinstellingen, kiezers en het electorale proces richten.
Belangrijke bevindingen zijn onder meer:
- Cybercriminelen nemen Amerikaanse kiezers op de korrel met phishing-scams: Hackers bieden op het dark web tegen spotprijzen phishing-kits aan. Deze stellen de afnemers in staat om kiezers en donateurs wijs te maken dat zij te maken hebben met presidentskandidaten of hun campagnevoerders.
- Kwaadaardige domeinregistraties nemen in aantal toe: Sinds het begin van 2024 zijn er ruim duizend potentieel kwaadaardige internetdomeinen geregistreerd. Deze volgen specifieke patronen. Ze bevatten de namen van presidentskandidaten of verwijzingen naar de verkiezingen. Dit doet vermoeden dat cybercriminelen de groeiende belangstelling voor de verkiezingen aangrijpen als kans om achteloze slachtoffers te lokken en kwaadaardige activiteiten uit te voeren.
- Op het dark web wordt volop in persoonsgegevens gehandeld: Op het dark web worden miljarden gegevens van Amerikaanse burgers ter verkoop aangeboden. Het gaat onder meer om burgerservicenummers, persoonlijk identificeerbare informatie en aanmeldingsgegevens. Deze kunnen worden gebruikt voor het verspreiden van desinformatie, frauduleuze activiteiten, phishing-scams en het kapen van accounts. Circa 3% van alle berichten op forums op het dark web heeft betrekking op de verkoop van informatie die afkomstig is uit databases van bedrijven en overheidsinstellingen.
- Ransomware-aanvallen zijn aan de orde van de dag: De onderzoekers van FortiGuard Labs bespeurden een toename van 28% van het aantal ransomware-aanvallen op Amerikaanse overheidsinstellingen ten opzichte van vorig jaar. Zij concludeerden dit op basis van een analyse van leak sites. Dit zijn websites waar ransomware-bendes gegevens publiceren van slachtoffers die geen losgeld willen betalen.
Derek Manky, chief security strategist en vice president Global Threat Intelligence bij Fortinet: “Met het oog op de naderende Amerikaanse presidentsverkiezingen is het van cruciaal belang om kennis te nemen van de cyberbedreigingen die de potentie bezitten om de integriteit en betrouwbaarheid van het verkiezingsproces te schaden en kiezers in gevaar te brengen. Cybercriminelen zoals staatshackers en hactivisten worden steeds actiever in aanloop naar belangrijke evenementen zoals verkiezingen. Alert blijven en potentiële cyberbedreigingen en kwetsbaarheden identificeren zijn van groot belang om bescherming te bieden tegen de trucs en gerichte aanvallen van cybercriminelen die misbruik proberen te maken van alle ophef. Zij kunnen zelfs het verkiezingsproces verstoren of de uitkomst daarvan beïnvloeden.”
Het dark web wordt overspoeld met scams rond de Amerikaanse verkiezingen
Cybercriminelen zoals staatshackers en hacktivisten voeren hun activiteiten op in aanloop naar de presidentsverkiezingen. Het onderzoeksteam van FortiGuard Labs constateerde dat cybercriminelen uiteenlopende phishing-kits op het dark web aanboden voor gemiddeld 1.260 dollar per stuk. Deze stellen afnemers in staat om zich uit te geven voor campagnevertegenwoordigers van Amerikaanse presidentskandidaten met het doel om de persoonsgegevens van donateurs te verzamelen, zoals hun namen, adressen en creditcardgegevens.
Sinds januari 2024 identificeerden de onderzoekers van FortiGuard Labs ruim duizend registraties van nieuwe domeinnamen met verkiezingsgerelateerde termen en namen van politieke kopstukken. Deze domeinen worden vaak gebruikt voor het hosten van frauduleuze websites voor het inzamelen van politieke donaties. Een voorbeeld is secure[.]actsblues[.]com. Dit is een imitatie van (secure[.]actblue[.]com), de homepage van ActBlue, een Amerikaanse non-profitorganisatie die als politiek actiecomité optreedt.
De twee vaakst gebruikte hostingproviders voor deze verkiezingsgerelateerde nepsites zijn AMAZON-02 en CLOUDFLARENET. Het lijkt erop dat cybercriminelen reputabele hostingplatforms zoals Amazon Web Services (AWS) en Cloudflare gebruiken om zich voor te doen als bonafide partij en de veerkracht van hun kwaadaardige internetdomeinen te versterken.
Er is sprake van een sterke concentratie van domeinen rond een kleine groep IP-adressen. Dit wijst erop dat cybercriminelen er een gecentraliseerde aanpak op nahouden voor een zo efficiënt mogelijk beheer van alle kwaadaardige domeinen die zij voor het uitvoeren van grootschalige cybercampagnes gebruiken.
Een opleving in de verkoop van persoonsgegevens van Amerikaanse burgers
Uit analyses door FortiGuard Labs blijkt dat er nog altijd een significant aantal databases met persoonsgegevens van Amerikaanse burgers via forums op het dark web wordt aangeboden. Het gaat om burgerservicenummers, gebruikersnamen, e-mailadressen, wachtwoorden, creditcardgegevens, geboortedatums en andere persoonlijk identificeerbare informatie. Deze gegevens zouden kunnen worden gebruikt om de integriteit van de Amerikaanse verkiezingen in het geding te brengen. Belangrijke bevindingen waren onder meer:
- Op het dark web zijn combo lists (tekstbestanden) in omloop met meer dan 1,3 miljard combinaties van gebruikersnamen, e-mailadressen en wachtwoorden. De kans op credential stuffing-aanvallen is daarmee uiterst reëel. Bij deze aanvallen proberen cybercriminelen gestolen aanmeldingsgegevens uit om toegang te krijgen tot accounts.
- De onderzoekers stuitten op 300.000 rijen met creditcardgegevens, waaronder de cvc-code, de naam, het creditcardnummer, de vervaldatum en de geboortedatum van de gebruiker. Dit wijst op een sterke kans op financiële fraude ten koste van kiezers.
- De aanwezigheid op het dark web van meer dan 2 miljard rijen aan databasegegevens wijst op een verhoogde kans op identiteitsdiefstal en gerichte phishing-aanvallen,
- 10% van alle berichten op forums op het dark web heeft betrekking op databases met Amerikaanse burgerservicenummers (social security numbers; SSN’s). Dit vertegenwoordigt een substantieel risico, omdat het de kans op misbruik van persoonsgegevens vergroot.
De Amerikaanse overheid vormt een steeds geliefder doelwit
Ransomware-aanvallen op overheidsinstellingen kunnen het electorale proces en het vertrouwen van burgers in de overheid schaden. De onderzoekers van FortiGuard Labs constateerden een toename van het aantal ransomware-aanvallen op Amerikaanse overheidsinstellingen met 28% ten opzichte van 2023.
Het dark web is uitgegroeid tot een broeinest voor cyberbedreigingen die specifiek op de VS zijn gericht. Cybercriminelen verhandelen er gevoelige informatie en ontwikkelen samen strategieën voor het misbruiken van kwetsbaarheden. Circa 3% van alle berichten op deze forums heeft betrekking op databases van bedrijven en overheidsinstanties. Deze bevatten cruciale data die voor, na en tijdens verkiezingen een geliefd doelwit van cybercriminelen vormen.
Aanbevelingen voor het voorkomen en neutraliseren van cyberaanvallen
Het treffen beveiligingsmaatregelen is van cruciaal belang voor het waarborgen van de integriteit van verkiezingen. Het toepassen van fundamentele best practices kan helpen met om beveiligingsincidenten te voorkomen of de impact daarvan te minimaliseren. Het onderzoeksrapport van FortiGuard Labs bevat een uitgebreide lijst van aanbevelingen en best practices. Belangrijke aandachtspunten voor burgers, zakelijke besluitvormers en verkiezingsbeambten zijn onder meer:
- Blijf beducht op verdachte activiteit in aanloop naar belangrijke gebeurtenissen.
- Ken prioriteit toe aan cyberhygiëne en training en bewustwording van werknemers.
- Dwing het gebruik van multi-factorauthenticatie en sterke wachtwoorden af.
- Installeer oplossingen voor de beveiliging van endpoints.
- Werk besturingssystemen, internetservers en applicaties regelmatig bij met de laatste beveiligingsupdates.
