Een verontrustende trend in de cybersecurity: cybercriminelen opereren steeds meer als professionele bedrijven. Door hun georganiseerde aanpak, slim gekozen tactieken en samenwerking met andere groepen lijken ze inmiddels meer op tech start of scale-ups dan op de eenzame hackers zoals ze in de media vaak worden afgeschilderd. Deze toenemende professionalisering heeft geleid tot aanvallen die de meest geavanceerde beveiligingsteams en verdedigingsoperaties van de overheid hebben omzeild.
De financiële impact neemt alleen maar toe. Volgens recent IBM-onderzoek bedroegen de gemiddelde kosten van een ransomware-aanval in 2022 4,35 miljoen dollar, een stijging van 2,6 procent ten opzichte van 2021 en bijna dertien procent sinds 2020, toen het nog 3,86 miljoen was. Met name drie professionele technieken vallen op:
1. Gebruik van ransomware-as-a-service
Ransomware-groepen passen het SaaS-model toe om hun activiteiten te schalen. Ransomware-as-a-Service (RaaS) stelt criminelen met minder vaardigheden in staat om ransomware tools te kopen of te huren via een abonnement. Dit helpt hen niet alleen hun activiteiten uit te breiden naar meerdere sectoren, maar het biedt ook een nieuwe manier om inkomsten te genereren.
De RaaS-aanpak is bijna identiek aan die van moderne bedrijven die het beste talent in verschillende functies willen inhuren. Via openbaar toegankelijke datalekken (DLS), Telegram-kanalen of directe werving van doelwitten als insider threats, adverteren cybercriminelen met vacatures, waarbij salaris, voordelen en andere voordelen worden aangeprezen. Zo adverteert de LAPSUS$ ransomware-groep al sinds november 2021 met vacatures die zijn gericht op werknemers van grote technologiebedrijven zoals AT&T en Verizon. Werknemers van dit soort concerns worden verleid om insider-taken uit te voeren in ruil voor een hoog loon (tot 20.000 dollar per week). Net als in de echte arbeidsmarkt bieden cybercriminelen hierbij flink tegen elkaar op.
2. Invoering van nieuwe technologieën
Net als een IT-manager binnen een bedrijf zijn ook cybercriminelen constant op zoek naar nieuwe manieren van werken. In hun geval om zich gemakkelijker en onzichtbaarder te bewegen. Ze houden in het oog wat voor tools ontwikkelaars gebruiken. Zo is Rust de laatste tijd heel populair, een taal die veel beveiligingen bevat die voorkomen dat code wordt gecompileerd met daarin veelvoorkomende kwetsbaarheden.
De afgelopen maanden hebben ransomware-groepen zoals BlackCat, Hive en Agenda echter juist gebruik gemaakt van Rust vanwege het gemak waarmee ze hun malware daarmee kunnen aanpassen aan verschillende besturingssystemen. Rust-varianten die door deze cybercriminelen worden gebruikt, maken ook wat wel genoemd wordt ‘intermitterende versleuteling’ mogelijk. Hierbij versleutelt de ransomware de bestanden van een slachtoffer slechts gedeeltelijk, waarbij secties van een bestand worden afgewisseld zodat ze ongemerkt langs security-maatregelen kunnen glippen.
Een ander voorbeeld van een aanpassing waarmee cybercriminelen succes hebben gehad: toen Microsoft vorig jaar begon met het blokkeren van macro’s (macro’s zijn nog steeds een populair middel om malware te verspreiden) daalde het aantal geïdentificeerde macro’s met 65 procent, blijkt uit onderzoek van Proofpoint. In reactie op deze verdedigingsmaatregel schakelden cybercriminelen snel over op andere bestandstypen, zoals ISO- en RAR-bijlagen, om hun kwaadaardige code te verspreiden. Ook Microsoft OneNote wordt ingezet om malware te verspreiden. Daarbij gebruiken ze slimme technieken om embedded bestanden aan het zicht te onttrekken en gebruikers ertoe te verleiden deze bestanden uit te voeren.
Cybercriminelen worden steeds brutaler en agressiever. Heeft een organisatie na een ransomware-aanval betaald, dan komen zij steeds vaker terug en eisen zij nog meer geld. Vaak met als dreigement dat gevoelige gegevens die zij bij de oorspronkelijke aanval in bezit kregen, gelekt zullen worden. Met deze dubbele, drievoudige en zelfs viervoudige afpersing kan een aanvaller zoveel mogelijk waarde uit zijn aanvallen halen.
3. Dreiging van geautomatiseerde chatbots
Hoewel ChatGPT nog maar in november 2022 gelanceerd werd, is nu al één zaak duidelijk: AI en large-language modellen zoals ChatGPT kunnen zowel ingezet worden bij aanvallen, als bij de verdediging ertegen. Beveiligingsonderzoekers hebben al succes geboekt met het gebruik van de API’s voor deze AI-tools om snel legitieme software te analyseren en te helpen reverse engineeren.
In januari 2023 gebruikte Juan Andres Guerrero Saade ChatGPT om het werk van studenten in een cursus reverse engineering te verbeteren. Voortbouwend op dit idee presenteerde Nate Warfield tijdens BlueHat 2023 hoe hij dezelfde principes gebruikte om een team in staat te stellen om in slechts een uur tijd maar liefst 4.000 fouten in de firmware van tal van systemen te identificeren.
Andere waarnemingen van beveiligingsonderzoekers brachten weer aan het licht dat ChapGPT werd gebruikt bij pogingen om malware-stammen automatisch na te maken. Daarnaast zien we dat steeds vaker AI-chatbots worden ingezet voor social engineering-campagnes. We weten van dit soort campagnes dat zij zeer destructief kunnen zijn. AI-chatbots verlagen aanzienlijk de drempel voor iedere cybercrimineel die nietsvermoedende slachtoffers wil uitbuiten.
Op zich zijn nieuwe bedreigingen natuurlijk niets nieuws onder de zon. Maar nu cybercriminelen steeds professioneler te werk gaan, moeten ook IT-organisaties zich nog beter wapenen. Beveiligingsteams moeten alert zijn op deze toenemende modernisering van cybercriminelen. Reactieve cyberbeveiliging is niet meer van deze tijd in het dynamische bedreigingslandschap waar we tegenwoordig mee worden geconfronteerd.
Nu deze criminele organisaties overschakelen op RaaS-bedrijfsmodellen, nieuwe technologieën toepassen en profiteren van automatisering om zich te bevrijden van alledaagse taken, wordt het onmogelijk om hen een stap voor te blijven met verouderde dreigingsinformatie en op besluitvorming waarbij we uitsluitend reageren op incidenten.
Zoals de uitdrukking luidt: “Houd je vrienden dichtbij en je vijanden dichterbij”. Dit is van het grootste belang voor de huidige beveiligingsteams, die goed moeten beseffen dat kwaadwillende actoren hun activiteiten ingrijpend veranderen. Doen zij dit niet, dan lopen zij het risico te worden overrompeld door een aanval die zij totaal niet zagen aankomen.
