Deepfakes, ransomware en cybercrime-as-a-service grote risico’s voor 2023

Maar ook de supply chain is vaker doelwit. “De dreiging wordt steeds groter omdat partijen binnen hun keten, door toenemende digitalisering, globalisering en outsourcing, steeds meer informatie met elkaar delen. Dit is nodig om de keten efficiënt te kunnen laten functioneren, maar creëert ook risico’s”, aldus Lacework. “Als aanvallers een goed beveiligd bedrijf willen aanvallen, kunnen ze voor de makkelijke weg kiezen door een minder goed beveiligd bedrijf aan te vallen dat een relatie heeft met het doelwit. Hierdoor zullen grotere groepen mensen slachtoffer worden van cyberaanvallen.”

Ransomware blijft een probleem

Die inzet zal in 2023 onder meer nodig zijn om ransomware-aanvallen het hoofd te bieden, net als in voorgaande jaren. Onder meer Check Point Software ziet dat dit ecosysteem blijft evolueren en groeien. “Onder andere door de oprichting van kleinere, meer wendbare hackersgroepen die gemakkelijker de rechtshandhaving weten te ontwijken”, aldus het bedrijf.

Ransomware bestaat niet meer alleen uit het versleutelen van systemen. Ook wordt er vaak gedreigd om data op het internet te delen. In 2023 gaat dat mogelijk nog weer een stap verder, vermoedt Lucia Milicã, global resident CISO bij Proofpoint. “De nieuwste trend is 'triple extortion', waarbij aanvallers niet alleen losgeld vragen van het doelwit, maar ook van alle partijen die gevolgen van het datalek kunnen ondervinden.”

Het SANS Institute verwacht daarnaast dat aanvallers zich meer op back-ups gaan richten die minder vaak gecontroleerd worden, doorlopende toegang kunnen bieden en mogelijk minder veilig zijn of afkomstig zijn van vergeten, oudere bestanden. “Beveiligingstools die doorgaans op deze aanvallen letten (zoals IPS) worden ook vaak uitgeschakeld c.q. genegeerd omdat ze vaak valse alarmen activeren voor databack-upsystemen. Dit maakt het nog moeilijker om onderscheid te maken tussen valse en legitieme aanvallen”, aldus John Pescatore, director emerging security trends.

Cybercrime-as-a-Service maakt risico’s groter

Cybercriminelen hoeven bovendien lang niet altijd computerexperts meer te zijn, met dank aan de opkomst van Cybercrime-as-a-Service, waarbij criminelen aanvalstechnieken in de vorm van een dienst te koop aanbieden op het dark web. “Cybercrime-as-a-Service vertegenwoordigt een aantrekkelijk verdienmodel voor cybercriminelen met uiteenlopende vaardigheidsniveaus”, verklaart FortiGuard Labs. “Door gebruik te maken van kant-en-klare oplossingen hoeven zij geen geld meer te steken in de ontwikkeling van een aanvalsplan. Voor doorgewinterde cybercriminelen vertegenwoordigt de ontwikkeling en verkoop van aanvalstechnieken in de vorm van een dienst een simpele, snelle en herhaalbare manier om geld te verdienen.”

Dergelijke diensten worden bijvoorbeeld meer rondom ransomware aangeboden, maar ook met andere vormen van cybercriminaliteit. Zo bestaat ook ‘Reconnaissance-as-a-Service’, waarmee onder meer informatie verzameld wordt over beveiligingsmechanismen, namen van medewerkers van het securityteam, het aantal servers, bekende extra kwetsbaarheden en zelfs gestolen inloggegevens die op het dark web te koop worden aangeboden. “Aan de hand van deze gegevens leveren ze een blauwdruk voor cyberaanvallen aan.”

En ook ‘Laundering-as-a-Service’ komt in 2023 mogelijk vaker voor. Deze dienst bestaat uit stromannen die worden ingezet om geld wit te wassen, soms zelfs zonder dat zij dat doorhebben. FortiGuard Labs: “Om detectie te voorkomen wordt vaak gebruikgemaakt van anonieme overboekingen of online cryptobeurzen. Het ronselen van geldezels neemt normaliter veel tijd in beslag, want cybercriminelen laten geen middel onbeproefd. Zo ontwikkelen ze websites voor niet-bestaande bedrijven. Ze voegen zelfs vacatures toe om de indruk te wekken dat het om een bonafide onderneming gaat. Maar het zal niet lang duren voordat cybercriminelen machine learning (ML) gaan inzetten om potentiële geldezels te identificeren, zodat ze die in kortere tijd voor hun karretje kunnen spannen.”

Deepfakes worden steeds toegankelijker

Een relatief nieuwe trend is het gebruik van deepfakes bij aanvallen. Het maken van deepfakes – waarmee echte mensen in beeld of audio nagebootst kunnen worden – wordt namelijk steeds toegankelijker. Aanvallers kunnen zich zo bijvoorbeeld telefonisch voordoen als een leidinggevende die werknemers opdraagt geld over te maken.

“Veel mensen weten niet dat een stem zo overtuigend kan worden vervalst”, aldus Mimecast. “Zo’n verzoek is extra geloofwaardig als diezelfde persoon ook op een andere manier contact opneemt. Daarom zullen cybercriminelen deepfake-audio waarschijnlijk combineren met andere communicatiekanalen. Dat kan bijvoorbeeld een nagemaakt (‘gespooft’) e-mailadres zijn, of een gehackt account voor een samenwerkingstool.”

De risico’s van dergelijke aanvallen kunnen enorm zijn. Proofpoint-CISO Miliciã: “Stel je de chaos op de financiële markt voor wanneer een deepfake CEO of CFO van een groot bedrijf een verklaring aflegt die de aandelen sterk doet dalen of stijgen. Of bedenk hoe kwaadwillenden de combinatie van biometrische authenticatie en deepfakes zouden kunnen gebruiken voor identiteitsfraude of het hacken van accounts.”

Misbruik van vertrouwde tools

Niet alleen worden deepfakes misbruikt voor aanvallen, ook vertrouwde cloudtools worden hier vaker voor ingezet. “We gaan onder andere ontdekken dat kwaadwillenden voorop lopen en al in cloudnetwerken zijn geïnfiltreerd, misschien weken, maanden of zelfs al jaren geleden”, voorspelt Yana Blachman, threat intelligence specialist bij Venafi, bijvoorbeeld. Trend Micro voorspelt ook iets dergelijks: “Een voorbeeld hiervan is het misbruiken van de back-upoplossingen van een slachtoffer om gestolen gegevens te downloaden naar de opslagbestemming van de aanvaller.” Door een aanval op deze manier aan te pakken, worden cybercriminelen mogelijk niet opgepikt door securitytools.

Daarnaast kunnen clouddiensten ingezet worden om bijvoorbeeld nepfacturen te versturen, aldus Mimecast. “Een marketingtool is handig om informatie over doelwitten te verzamelen. En via betaalde opties van socialmediaplatforms kunnen ze slachtoffers naar malafide websites leiden. Meestal zijn dit soort tools tijdelijk gratis uit te proberen. Dat speelt kwaadwillenden in de kaart.”

Social engineering blijft een probleem

Net als in andere jaren blijft ook social engineering – bijvoorbeeld in de vorm van phishing – een groot probleem. “Beveiligingsteams moeten zich beschermen tegen steeds geavanceerdere spear phishing- en social engineering-aanvallen”, aldus Zoom-CISO Michael Adams. En ook daarbij wordt naar verwachting deepfake-technologie ingezet.

Spear phishing gaat zich naar verwachting ook vaker op heel specifieke doelwitten richten, zoals nieuwe werknemers. “Een werknemer die zijn nieuwe baan aankondigt op LinkedIn wordt dan bijvoorbeeld bestookt met welkomstmails, zogenaamd afkomstig van leidinggevenden. Of de aanvallers lokken de werknemer naar een nagemaakt aanmeldportaal. Zo proberen ze inloggegevens te stelen of malware te installeren”, aldus Mimecast.

MFA is te omzeilen

Een veelgebruikte methode om tegen phishing te beschermen, is multifactor authentication (MFA). Maar ook daar weten cybercriminelen in 2023 vaker omheen te komen, aan de hand van ‘MFA fatigue’, aldus G Data. Daarbij loggen cybercriminelen op verschillende momenten met gestolen inloggegevens in, wat betekent dat gebruikers op willekeurige momenten meldingen op hun telefoon krijgen om een inlogpoging goed te keuren. “Het blijkt dat als mensen dergelijke meldingen snel na elkaar krijgen, zonder dat men weet of dit een legitieme inlogpoging is, heel vaak klikken op ‘goedkeuren’ omdat men het moe is.”

Dit gebeurde in 2021 mogelijk al bij de Belastingdienst, toen ethisch hacker Jelle Ursem admin-inloggegevens van de Azure-omgeving van de organisatie wist te bemachtigen. Ook die omgeving bleek beschermd met MFA, maar de eigenaar van het account accepteerde het verzoek na de inlogpoging van Ursem. “Ik denk dat hij eerder bij een serviceaccount in een configuratiestap een fout heeft gemaakt, waardoor er nu steeds een MFA-popup getriggerd wordt. Dus dan komt dat verzoek vaker naar boven. Op die manier word je blind voor de MFA-verzoeken en dat is natuurlijk gevaarlijk”, aldus Ursem begin dit jaar tegenover AG Connect.

Daarnaast richten cybercriminelen zich vaker op zwakke plekken in MFA. Het SANS Institute adivseert dan ook om bijvoorbeeld eigen authenticatietokensystemen te gaan gebruiken of een veiligere optie als FIDO 2-authenticatie.