Steeds meer bedrijven zijn meerdere keren het slachtoffer van cyberafpersing. Deze nieuwe, zorgwekkende trend wordt verergerd door de sterke toename van het aantal slachtoffers van cyberafpersing wereldwijd. Die conclusie trekken onderzoekers van Orange Cyberdefense in hun nieuwste rapport: Cy-Xplorer 2024.
In de afgelopen 12 maanden is het aantal slachtoffers van cyberafpersing gestegen met 77% ten opzichte van het voorgaande jaar. Uit het rapport blijkt dat een steeds groter deel daarvan meerdere keren te maken heeft gehad met deze vorm van cybercriminaliteit. Re-victimization in 2023 is met 127% gegroeid ten opzichte van 2022. Vergeleken met 2020 is dat zelfs een groei van 1.533%. Uit voorlopige cijfers van dit jaar blijkt dat deze stevige groei doorzet.
De onderzoekers onderscheiden in het rapport drie manieren waarop re-victimization plaatsvindt:
Het opnieuw aanvallen door dezelfde dreigingsactor binnen enkele maanden.
Het herhaaldelijk delen van gegevens van hetzelfde slachtoffer door verschillende dreigingsactoren op leaksites, met tussenpozen van enkele maanden tot jaren.
Het ontstaan van nieuwe aanvallen na de verkoop van eerder gestolen gegevens op de dark web-marktplaatsen.
Volgens de onderzoekers komt het regelmatig voor dat sommige organisaties meerdere keren worden gechanteerd door verschillende groepen. Dit wijst volgens hen op een goed georganiseerde en wijdverbreide criminele infrastructuur. Aanvallers maken hierbij gebruik van elkaars opgedane inzichten om blijvende druk uit te oefenen op slachtoffers.
Een belangrijke oorzaak van herhaalde aanvallen tegen hetzelfde bedrijf zijn volgens de onderzoekers zogenaamde ‘affiliates’. Deze cybercriminelen werken samen met meerdere cyberafpersingsoperaties. “Een affiliate, die mogelijk toegang heeft gekregen tot de systemen van een bedrijf tijdens een eerdere aanval, verkoopt of deelt deze gegevens met andere criminele groepen”, legt Matthijs van der Wel-ter Weel, strategisch adviseur bij Orange Cyberdefense Nederland, uit.
“Deze groepen voeren vervolgens hun eigen aanvallen uit, gebruikmakend van de eerder verkregen informatie om hun kansen op succes te vergroten. Dit hergebruik van gegevens leidt tot een verhoogde kans op herhaalde aanvallen, omdat verschillende groepen steeds opnieuw dezelfde kwetsbaarheden exploiteren.”
Orange Cyberdefense adviseert de volgende maatregelen om herhaalde aanvallen te voorkomen:
Snelle identificatie en aanpak van kwetsbaarheden
Na een aanval is het cruciaal om zo snel mogelijk de oorzaak van de inbreuk te achterhalen. Voer een grondige forensische analyse uit om te identificeren hoe de aanvallers toegang hebben gekregen en dicht eventuele kwetsbaarheden. Dit voorkomt dat aanvallers dezelfde methoden opnieuw kunnen gebruiken.
Implementeer inbraakdetectiesystemen (IDS) en -preventiesystemen (IPS)
Gebruik geavanceerde IDS en IPS om verdachte activiteiten binnen het netwerk te detecteren en te blokkeren. Deze systemen kunnen helpen bij het identificeren van pogingen tot herhaalde aanvallen door bekende dreigingsactoren.
Voer regelmatige pentests uit
Laat regelmatig penetratietests uitvoeren om kwetsbaarheden in systemen te identificeren en te verhelpen. Dit helpt bij het voorkomen van hergebruik van eerder misbruikte kwetsbaarheden.
Beheer en monitor toegangsrechten strikt
Herzie en beperk regelmatig de toegangsrechten van gebruikers binnen het netwerk. Zorg ervoor dat alleen bevoegde personen toegang hebben tot kritieke systemen en gegevens, en monitor toegangslogs op verdachte activiteiten.
Ga niet te snel over tot betaling, ook niet als een verzekeraar deze dekt
Bedrijven sluiten steeds vaker een cyberverzekering af om de financiële gevolgen van een cyberaanval af te dekken. Bij een incident schakelt de verzekeraar doorgaans een incident response provider in die met de dreigingsactor onderhandelt. In veel gevallen is het voor de verzekeraar goedkoper om het gevraagde losgeld te betalen dan om de volledige schade te vergoeden. Maar als je bekend komt te staan als een partij die betaalt, maakt dat je aantrekkelijk om opnieuw aan te vallen. In plaats van het belonen van de aanvallers is het verstandiger te investeren in cybersecurity.
Kies voor Managed Detection & Response (MDR)
Bedrijven die niet de capaciteit hebben om 24/7 waakzaam te zijn, kunnen gebruikmaken van MDR. De externe securityprofessionals kunnen wel direct ingrijpen bij incidenten en schade door herhalingsaanvallen voorkomen.
Het volledige rapport is te downloaden via deze link.