Sophos heeft vandaag zijn Threat Report 2023 gepubliceerd. Het rapport beschrijft hoe het cyberdreigingslandschap een nieuw niveau van commercialisering en gemak heeft bereikt voor would-be aanvallers door de uitbreiding van cybercrime-as-a-service, waardoor nu bijna iedereen toegang heeft tot het plegen van cybercriminaliteit. Het rapport beschrijft ook hoe ransomware voor organisaties een van de grootste cyberdreigingen blijft met zwendelaars die hun afpersingstactieken innoveren, en hoe de vraag naar gestolen inloggegevens blijft groeien.
Criminele ondergrondse marktplaatsen zoals Genesis hebben het lang mogelijk gemaakt om malware en diensten om zelf malware te maken (‘malware-as-a-service’) te kopen, of om gestolen inlog- en andere gegevens in bulk te verkopen. In de afgelopen tien jaar, met de toenemende populariteit van ransomware, ontstond er een heuse ‘ransomware-as-a-service’-economie. Nu, in 2022, is dit ‘as-a-service’-model uitgebreid en is bijna elk aspect van de cybercrime toolkit – van de eerste besmetting tot manieren om detectie te voorkomen – te koop.
“Er worden niet alleen de gebruikelijke malware‑, zwendel- en phishing-kits te koop aangeboden”, zegt Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos. “Cybercriminelen van een hoger niveau verkopen nu ook tools en mogelijkheden die ooit enkel in handen waren van de meest geavanceerde aanvallers als service aan andere actoren. Vorig jaar zagen we bijvoorbeeld advertenties voor OPSEC-as-a-service, waarbij de verkopers aanboden om aanvallers te helpen bij het verbergen van Cobalt Strike-besmettingen. Ook zagen we scanning-as-a-service, waarmee kopers toegang krijgen tot legitieme commerciële tools als Metasploit om zwakke plekken op te sporen en die vervolgens uit te buiten. De commoditisering van bijna elk onderdeel van cybercriminaliteit heeft een invloed op het dreigingslandschap en biedt interessante kansen voor elk type aanvaller met elk type vaardigheidsniveau.”
Met de uitbreiding van de ‘as-a-service’-economie worden ondergrondse marktplaatsen voor cybercriminaliteit steeds meer gecommercialiseerd en werken ze als reguliere bedrijven. Verkopers van cybercriminaliteit maken niet alleen réclame voor hun diensten, maar bieden ook vacatures aan om aanvallers met specifieke vaardigheden aan te werven. Sommige marktplaatsen hebben speciale pagina’s voor het zoeken naar hulp en het aanwerven van personeel, terwijl werkzoekenden er samenvattingen van hun vaardigheden en kwalificaties posten.
“De eerste leveranciers van ransomware waren eerder beperkt in wat ze konden doen omdat hun activiteiten gecentraliseerd waren; de groepsleden voerden elk aspect van een aanval uit. Maar naarmate ransomware steeds winstgevender werd, zochten ze naar manieren om hun producties op te schalen. Ze begonnen daarom delen van hun activiteiten uit te besteden, waardoor ze een volledige infrastructuur creëerden om ransomware te ondersteunen. Nu laten andere cybercriminelen zich inspireren door het succes van die infrastructuur en volgen ze dit voorbeeld”, aldus Gallagher.
Naarmate de infrastructuur voor cybercriminaliteit zich uitbreidde, bleef ransomware zeer populair – en zeer winstgevend. Het afgelopen jaar hebben ransomware-zwendelaars hun potentiële aanvalsservice verder uitgebreid door zich te richten op andere platformen dan Windows, en door nieuwe programmeertalen te gebruiken zoals Rust en Go om detectie te voorkomen. Sommige groepen, vooral Lockbit 3.0, hebben hun activiteiten gediversifieerd en ‘innovatievere’ manieren gecreëerd om slachtoffers af te persen.
“Als we het hebben over de toenemende complexiteit van de criminele onderwereld, strekt dit zich uit tot de wereld van ransomware. Lockbit 3.0 biedt nu bijvoorbeeld ‘bug bounty’-programma’s voor zijn malware, en ‘crowd-sourcing’-ideeën om zijn activiteiten van de criminele gemeenschap te verbeteren. Andere groepen zijn overgestapt op een ‘abonnementsmodel’ voor toegang tot hun informatie over lekken en nog weer anderen veilen het. Ransomware is in de eerste plaats een business geworden”, zegt Gallagher.
De evoluerende economie van de onderwereld heeft niet alleen de groei van ransomware en de ‘as-a-service’-industrie bevorderd, maar ook de vraag naar diefstal van inloggegevens doen toenemen. Met de uitbreiding van webdiensten kunnen verschillende soorten inloggegevens, vooral cookies, op tal van manieren worden gebruikt om een voet aan de grond te krijgen in netwerken, zelfs met omzeilen van MFA. Diefstal van inloggegevens blijft ook een van de gemakkelijkste manieren voor beginnende criminelen om toegang te krijgen tot ondergrondse marktplaatsen en hun ‘loopbaan’ te beginnen.
Sophos heeft ook de volgende trends geanalyseerd:
- De oorlog in Oekraïne heeft wereldwijde gevolgen voor het cyberdreigingslandschap. Direct na de invasie was er een explosie van financieel gemotiveerde zwendelpraktijken, terwijl nationalisme een reorganisatie van criminele samenwerkingsverbanden tussen Oekraïners en Russen met zich meebracht, vooral onder ransomware-partners.
- Criminelen blijven legitieme executables benutten en ‘living off the land binaries’ (LOLBins) gebruiken om verschillende soorten aanvallen uit te voeren, inclusief ransomware. In sommige gevallen maken aanvallers gebruik van legitieme maar kwetsbare stuurprogramma’s bij ‘bring your own driver’-aanvallen om eindpuntdetectie en responsproducten uit te schakelen en zo detectie te ontwijken.
- Mobiele apparaten zijn nu het middelpunt van nieuwe soorten cybercriminaliteit. Niet alleen gebruiken aanvallers nog steeds nep-applicaties om malware-injectoren, spyware en bankgerelateerde malware te leveren, maar nieuwere vormen van cyberfraude, zoals ‘pig butchering’, worden steeds populairder. En naast Android-gebruikers worden nu ook iOS-gebruikers getroffen.
- De devaluatie van Monero, een van de populairste cryptomunten voor cryptominers, leidde tot een daling van een van de oudste en populairste vormen van cryptocriminaliteit, nl. cryptomining. Maar mining-malware blijft zich verspreiden via geautomatiseerde ‘bots’, zowel op Windows- als Linux-systemen.
Lees het volledige Threat Report 2023 van Sophos voor meer informatie over het veranderende dreigingslandschap in 2022 en wat dit betekent voor beveiligingsteams in 2023.
Het Threat Report 2023 van Sophos omvat onderzoek en inzichten van Sophos X‑Ops, een nieuwe, cross-operationele eenheid die drie gevestigde teams van cyberbeveiligingsexperts bij Sophos (SophosLabs, Sophos SecOps en Sophos AI) samenbrengt. Sophos X‑Ops telt meer dan 500 cyberbeveiligingsexperts over de hele wereld die uniek zijn toegerust om een volledig, multidisciplinair beeld van een steeds complexer dreigingslandschap te bieden. Volg voor meer informatie over dagelijkse cyberaanvallen en TTP’s Sophos X‑Ops op Twitter en abonneer u op actuele artikelen en rapporten over dreigingsonderzoek en beveiligingsactiviteiten en rapporten van de frontlinie van cyberbeveiliging.
