De manier waarop hackers te werk gaan is veranderd. In plaats van op korte tijd zo veel mogelijk schade aan te richten, proberen ze nu zo lang mogelijk onder de radar te blijven. Dat is één van de conclusies van de X-Force Threat Intelligence Index van IBM.
2022 was een chaotisch jaar voor onze maatschappij. De coronapandemie liet zich vooral in de eerste maanden van het jaar nog voelen en in februari brak de oorlog in Oekraïne los. Giet daarbij nog eens verstoorde productieketens en economische instabiliteit en je krijgt een perfecte cocktail van onzekerheid. Van die onzekerheid maakten cybercriminelen maar al te graag gebruik om bedrijven groot en klein onder vuur te nemen.
Naar jaarlijkse gewoonte brengt IBM in de X-Force Threat Intelligence Index het cybersecuritylandschap in kaart. Het rapport geeft inzicht in hoe cybercriminelen te werk gaan en hoe we ons daartegen kunnen verdedigen. Eben Louw, die het Europese X-Force Incident Response-team van IBM leidt, gidst ons door de meest opvallende trends van 2022.
Langs een achterpoort
Wie denkt dat hackers op hol geslagen beesten zijn, zal na het lezen van het rapport zijn conclusies moeten herzien. Want ransomware staat dit jaar niet meer bovenaan de ranglijst van meest gebruikte aanvalsmethodes. Volgens het onderzoek is één op vijf beveiligingsincidenten een ‘backdoor’-aanval, waarbij de aanvallers stiekem binnensluipen langs een achterpoortje van een systeem.
Dat beaamt ook Eben Louw: “We zagen een duidelijke verandering van tactiek bij aanvallers. Waar tot 2021 de aanvalsmethoden vaak veel destructiever van aard waren, wilden aanvallers in 2022 meestal juist geen alarmbellen laten afgaan. Ze dompelen zich onder in de omgeving van het slachtoffer en proberen onder de radar data buit te maken of malware te injecteren.” Bestaande backdoor-toegangen worden dan ook voor veel geld verkocht onder cybercriminelen; bedragen tot 10.000 dollar zijn niet ongewoon.
Zijn klassieke ransomware-methoden dan passé? Helemaal niet, met zeventien procent blijft ransomware een beproefd recept. Maar mede omdat bedrijven over betere detectiemiddelen beschikken, moeten criminelen anders te werk gaan. Zo proberen aanvallers nu vaak ook zakenrelaties van het slachtoffer mee te betrekken in de aanval om de psychologische impact te vergroten.
lees ook
Ransomware: 5 tips om je organisatie te beschermen
E-mail als wapen
Dat cybercriminelen één proberen te worden met hun slachtoffer, blijkt ook uit de opmars van thread hijacking als aanvalsmethode. De hackers kapen een e-mailadres van een medewerker en nemen doodleuk deel aan dagelijkse conversaties. Op die manier proberen ze het vertrouwen te winnen van medewerkers binnen de organisatie.
Ook spear phishing blijft een geliefkoosde tactiek om accountgegevens te bekomen, al neemt de impact van phishing af in Europa. In veertien procent van beveiligingsincidenten bij Europese bedrijven kwamen de aanvallers binnen met spear phishing, waar dit in 2021 nog bij 42 procent het geval was. Een gevolg van meer awareness rond het gevaar van phishing, zegt Louw.
“In het kader van beveiliging is het cruciaal om je zichtbaarheid te vergroten”, gaat hij verder. “Je moet de volledige aanvalsoppervlakte in kaart brengen om verdachte activiteit doorheen de hele omgeving te detecteren. Pas als je zelf begrijpt hoe aanvallers naar binnen kunnen komen, kan je je ertegen beveiligen. Daarnaast moet je ook meer oog hebben voor gedrag: aanvallers zijn creatief en proberen zich voor te doen als iemand die je kan vertrouwen.”
Oude klassiekers
2022 mag dan een jaar van nieuwe aanvalstactieken zijn, ook de oude klassiekers en zogenaamde ‘legacy-exploits’ blijven het goed doen. In 2022 werd een recordaantal nieuwe kwetsbaarheden ontdekt (23.964), maar het aandeel kwetsbaarheden dat effectief word omgezet tot exploits krimpt wel jaar op jaar verder (26% tegenover 38% in 2018).
Hacken hoeven ook niet per sé op elke zeroday te springen. Ze hebben vandaag de dag maar liefst 78.000 bekende exploits ter beschikking om uit te kiezen. Geloof het niet, maar WannaCry-ransomware kende vijf jaar na de eerste golf in 2017 een heropleving in 2022. Hoe kan dat?
“Oude systemen blijven lang in gebruik”, legt Louw de vinger op de zere wonde. “In sommige sectoren gebruiken bedrijven bijvoorbeeld nog altijd Windows XP-apparaten. Verouderde software is slecht beveiligd omdat het ook niet meer voorzien is van beveiligingsexploits. Hierdoor kunnen exploits lang slachtoffers blijven maken.”
lees ook
Beveiligingstip: geef patchen de hoogste prioriteit
Europa als hotspot voor afpersing
De middelen mogen dan wel veranderen (of juist niet), het doel van cybercriminelen is veel voorspelbaarder. Een op vijf aanvallen heeft als direct doel het slachtoffer afpersen (21%), bij negentien procent willen de aanvallers data stelen, al dan niet om het slachtoffer op een later tijdstip af te persen.
Europa is al enkele jaren de meest geviseerde regio door afpersers en dit was ook in 2022 het geval: 44 procent van de afpersingsincidenten vond plaats op ons continent. Daar zit volgens Louw een logische verklaring achter: “Door de GDPR-wet zijn de gevolgen van datalekken bijzonder groot voor Europese bedrijven. Bedrijfsleiders schieten dus sneller in paniek wanneer data gestolen wordt. Dit gebruiken criminelen om hen onder druk te zetten sneller te betalen.”
Kat- en muisspel
De strijd tussen verdedigers en aanvallers gaat in 2023 onverstoord verder. In het rapport dat IBM over een jaar zal publiceren, zullen ongetwijfeld weer nieuwe trends naar boven komen. Louw voorspelt dat het kat- en muisspel met cybercriminelen nog lang niet ten einde is.
“Aanvallers zijn zeer opportunistisch. Geraken ze bij één bedrijf moeilijk binnen, dan gaan ze gewoon naar een volgend slachtoffer waar ze eenvoudiger kunnen binnenbreken. Het is bijna onmogelijk om voor honderd procent beveiligd te zijn. Cybercriminelen vinden altijd nieuwe manieren om detectie te ontwijken, beveiligen zal altijd een beetje achtervolgen zijn”, aldus Louw.
Jezelf beveiligen tegen al dat digitale onheil begint bij een goede voorbereiding. Louw: “Een aanval kan zich op elk moment voordoen. Wees dus voorbereid. Elke organisatie moet een plan op tafel hebben liggen en dit ook regelmatig testen. Probeer ook te begrijpen welk soort actoren je organisatie kan aanvallen en waarom. En zie je iets verdacht op je netwerk, grijp dan ook onmiddellijk in.”
Het is bijna onmogelijk om voor honderd procent beveiligd te zijn. Cybercriminelen vinden altijd nieuwe manieren om detectie te ontwijken, beveiligen zal altijd een beetje achtervolgen zijn.
Eben Louw, European Lead IBM X-Force Incident Response Team