19 juli 2023
Cyberafpersing laaide na een kleine dip in het eerste kwartaal van 2023 weer stevig op. Dat blijkt uit het Cy-Xplorer-rapport 2023 van Orange Cyberdefense. Dit zijn de 10 meest opvallende trends uit het rapport.
In het eerste kwartaal van 2023 bereikte het aantal slachtoffers van cyberafpersing wereldwijd een nieuw record. Dat is zeer opvallend, omdat in 2022 het aantal slachtoffers juist 8 procent daalde ten opzichte van het jaar daarvoor.
Cyberafpersing vindt het vaakst plaats in de industrie. Van alle getroffen organisaties was 20% afkomstig uit deze sector. Toch daalde het aantal slachtoffers in deze sector met bijna 40% ten opzichte van 2021. Een belangrijke reden hiervoor is de ontmanteling van de Conti-groep, een beruchte hackersgroep met Russische wortels.
De onderwijssector kreeg de volle laag. Het aantal incidenten nam in deze sector met 41% toe. Die stijging werd voornamelijk veroorzaakt door de Vice Society-groep. Deze hackersgroep van Russische oorsprong heeft het vooral gemunt op organisaties uit de gezondheidszorg en het onderwijs.
Voorheen richtten cybercriminelen hun pijlen vooral op grote multinationals. Met die trend werd in 2022 gebroken. De spreiding van slachtoffers binnen grote, middelgrote en kleine bedrijven was vrijwel gelijk. Weliswaar lag het absolute aantal getroffen kleine organisaties 4,5 keer hoger dan middelgrote en grote organisaties samen, in verhouding lopen ze allemaal net zoveel risico.
Uit eerder onderzoek van Orange Cyberdefence bleek het mkb in 2022 bovendien steeds vaker het slachtoffer van malware-aanvallen (49% in 2022, ten opzichte van 10% in 2019 en 24% in 2020). Veel gevallen van cyberafpersing beginnen met een malware-aanval. Bovendien is de gemiddelde schade van een ernstig cyberincident voor organisaties met minder dan 500 medewerkers ruim 1,7 miljoen euro. Dat leidt voor kleinere organisaties niet zelden tot een faillissement. Mkb-organisaties kunnen zich dus niet veilig wanen.
Financieel gewin blijft de voornaamste drijfveer voor cybercriminaliteit. Sterker nog, cybercriminelen blijven het liefst apolitiek. Hackersgroepen die zich nadrukkelijk pro-Russisch uitspraken, betaalden hiervoor in 2022 een stevige prijs. Zo werd de Conti-groep nadat ze zich nadrukkelijk pro-Russisch hadden uitgesproken actief vervolgd en ontmanteld.
Ondanks het feit dat cybergroeperingen liever apolitiek blijven, zijn geopolitieke ontwikkelingen wel degelijk van invloed op het dreigingslandschap. Zo is Rusland een relatief veilige thuishaven geworden voor cybercriminelen die hun pijlen hebben gericht op westerse organisaties en natiestaten. Rusland werkte soms mee met het Westen als het gaat om opsporing van Russische cybercriminelen. Denk hierbij aan de arrestatie van Evgeniy Bogachev, een Russische hacker die betrokken was bij het ontwikkelen en verspreiden van de beruchte Zeus-botnet-malware. Vandaag de dag is er helemaal geen samenwerking meer.
In 2022 genoot een oude aanvalsmethode genaamd SEO-poisoning hernieuwde populariteit als aanvalsmethode. Hierbij manipuleren cybercriminelen de gesponsorde zoekresultaten bovenin de zoekpagina. Op die manier lokken ze bezoekers naar met malware geïnfecteerde webpagina’s. SEO-poisoning is een zeer effectieve manier van social engineering, omdat veel mensen er blind vanuit gaan dat de bovenste zoekresultaten ook de beste en bovendien veilig zijn.
In 2022 werden namen van slachtoffers op datalekwebsites steeds vaker deels gecensureerd. Dat gebeurde allesbehalve uit goede bedoelingen. Cybercriminelen onthulden bij het uitblijven van betaling iedere dag meer karakters. Op die manier oefenden ze druk uit op slachtoffers die niet willen dat hun namen openbaar worden vermeld op dergelijke websites. Deze strategie werd voor het eerst gebruikt door de Play-hackgroep in november 2022, en kort daarna door de BianLian-hackgroep.
Cybercriminelen professionaliseren hun aanvalsmethoden in hoog tempo. Toch gaat er ook veel mis. Zo lekte de Conti-groep maar liefst 60.000 chatberichten naar de buitenwereld. Kort na het lek werd de groep ontmanteld.
Ook bij het hackerscollectief Hive ging het fout: hun interne netwerk bleek zes maanden lang gehackt te zijn door wetshandhavingsinstanties uit de Verenigde Staten. Daardoor konden uiteindelijk veel Hive-slachtoffers hun data weer ontsleutelen.
Westerse overheden en wetshandhavingsinstanties zijn agressiever gaan optreden tegen cyberafpersing. Zo hebben sommige landen verboden dat bedrijven losgeld betalen aan cybercriminelen. Ook is de pakkans vergroot, maken handhavingsdiensten steeds vaker de infrastructuur van cybercriminelen onbruikbaar en nemen ze regelmatig de buit van cyberaanvallers in beslag.
Die strenge aanpak lijkt te werken. Cybercriminelen passen zich aan en zoeken naar regio's met een lager risiconiveau. Landen met minder proactievere securitymaatregelen uit Latijns-Amerika, Zuidoost-Azië en Oceanië zijn nu vaker het gekozen doelwit. Niet-NAVO-landen die het vaakst slachtoffer waren, zijn onder andere Austrialie, Zwitserland, Thailand en Taiwan.
De onderzoekers van Orange Cyberdefense benadrukken overigens dat, ondanks het succes van een strengere overheidsaanpak, de strijd tegen cyberafpersing nog lang niet gestreden is. Volgens hen is een nog intensievere samenwerking tussen het bedrijfsleven en de overheid hard nodig voor een blijvend positief resultaat.
Orange Cyberdefense volgt Cyber Extortion-activiteiten consequent sinds 2020 en verzamelde inmiddels informatie over meer dan 6500 slachtoffers. Het complete rapport is hier te downloaden.