Een sprintje in de wapenwedloop

De wapenwedloop in cyber is de afgelopen jaren niet heel hard gegaan. Cybercriminelen hadden het duidelijk voor het zeggen en hadden vrij spel. Ransomware was, en is, de modus operandi om geld te verdienen. De afgelopen jaren hebben we hard gewerkt om daar wat aan te doen. We beveiligen onze maatschappij beter, we weten beter blokkades op te werpen voor de ‘ransomware businesscase’ en we weten de boeven steeds vaker op te sporen en te pakken.

Dit zorgt ervoor dat we eindelijk wat hebben ingehaald in de race en dat er weer gerend moet worden aan de criminele kant. Dit zien we de afgelopen tijd steeds duidelijker terug, met nieuwe technieken en strategieën die oppoppen. Het nadeel van de afgelopen jaren: cybercriminelen hebben een aardige pot geld kunnen opbouwen om nu te investeren. Ten eerste zien we dat een deel van het geld duidelijk wordt geïnvesteerd om kwetsbaarheden in software te vinden. Dit is een duidelijke reactie op het beter beveiligen van gebruikers met bijvoorbeeld MFA. Door kwetsbaarheden in (externe) software te benutten, kunnen criminelen op een andere manier een eerste stap in een netwerk zetten. Ze kopen deze kwetsbaarheden in op het darknet of ze huren mensen in om doorlopend dit soort onderzoek te doen.

Ten tweede zien we dat ransomware en ‘ransomware as a service’ steeds toegankelijker worden. De tools om een aanval uit te voeren zijn meermaals gelekt en worden gebruikt door minder geavanceerde splintergroepen. Die zijn vaak wat luidruchtiger en onhandiger, waardoor ze weer makkelijker te ontdekken zijn voor ons! De grote groepen blijven echter bestaan en ontwikkelen ook hun tools en technieken door.

Door de sancties van afgelopen jaren, en de volwassenheid die we hebben als maatschappij, worden er minder ransomware betalingen gedaan. Dit zorgt ervoor dat criminelen naar andere modus operandi moeten zoeken. Zo zien we dat ze weer meer met ‘business email compromise’ bezig zijn en daar ook weer innovaties in verzinnen.

Een voorbeeld van zo’n innovatie is EvilProxy, een nieuwe dienst voor criminelen om niet alleen een gebruikersnaam en wachtwoord van een gebruiker af te troggelen, maar ook hun MFA-code. Op die manier zien we criminelen nu ook weer binnendringen. De dienst is (relatief gezien) niet duur en wordt aangeboden voor een flinke lijst websites, waaronder: Google, Microsoft, Facebook, Apple, maar ook specifieker gericht zoals GitHub.

Het tempo van de wapenwedloop is weer verhoogd. Waardoor we weer moeten nadenken over de volgende verdedigingsstappen die we moeten zetten. Er is meer aandacht dan ooit en de bereidheid om te bewegen is er. We moeten samen weer puzzelen met betrekking tot de volgende stappen. Weer scherp zijn op ‘business email compromise’ en mogelijke nieuwe soorten aanvallen. Niet alleen MFA, maar ‘trusted access’. Nog scherper op de rechten van gebruikers. Laten we zorgen dat we in het volgende rondje voorop gaan lopen in de wapenwedloop!

Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en bereikbaar via m.hoogesteger@s-rminform.com.

Deze column verscheen in iB2-2023.