Kleine groep verantwoordelijk voor meeste schade door cybercrime

Een kleine groep professionele criminelen is verantwoordelijk voor het grootste deel van de schade door cybercrime. Deze criminelen gebruiken even geavanceerde, doelgerichte en sluwe middelen en technieken als de meeste natiestaten. Deze geraffineerde en vaardige criminele bendes opereren grotendeels buiten het dark web alhoewel ze soms gebruikmaken van minder geavanceerde criminele middelen wanneer deze hun doel dienen.

Dit blijkt uit het State of Cybercrime Report 2018, waarin Secureworks de cybercrime-trends en -gebeurtenissen met de grootste impact in 2018 belicht. Voor het rapport hebben analisten van de Secureworks Counter Threat Unit (CTU) van juli 2017 tot juni 2018 bij 4.400 bedrijven rapporten over incidenten geanalyseerd en eigen onderzoek uitgevoerd om de bedreigingen beter te begrijpen. Naast zeer geavanceerde aanvallen zijn ook minder complexe cyberaanvallen winstgevend. Dergelijke aanvallen worden vaak onder het oog van security-onderzoekers en wetshandhavers op het dark web uitgevoerd. Hoewel deze activiteiten relatief eenvoudig zijn in hun aanpak, kunnen zij nog steeds veel schade aanrichten. Secureworks wijst erop dat er geen stagnatie in het totale aantal dreigingen is.

'Lucratieve markt'

“Cybercriminaliteit is een lucratieve markt, en het is niet verrassend dat het een middel is geworden van krachtige, georganiseerde groepen”, zegt Don Smith, Senior Director, Cyber Intelligence Cell van de Secureworks Counter Threat Unit. “Om een volledig beeld te krijgen van de wereld van cybercriminaliteit, hebben we inzichten verkregen door het dark web en de klant te monitoren via geautomatiseerde technische tracering van cybercriminele middelen.”

De belangrijkste bevindingen van de CTU-onderzoekers:

• De grens tussen natiestaten en cybercriminelen wordt steeds vager
• Natiestaten maken steeds vaker gebruik van middelen en technieken die cybercriminelen gebruiken, en andersom. In augustus 2018 stelden CTU-onderzoekers vast dat Noord-Korea waarschijnlijk verantwoordelijk was voor de verspreiding van Gandcrab-ransomware onder de Zuid-Koreaanse bevolking en infrastructuur, als onderdeel van een groter offensief. GandCrab wordt ontwikkeld en verkocht als een dienst en wordt meestal geassocieerd met financieel gemotiveerde criminelen.
• In maart 2018 gebruikte een hacker, die waarschijnlijk banden had met Iran, toegang die eerder voor spionage was gebruikt om een cryptocurrency miner op de infrastructuur van het doelwit te plaatsen. CTU-onderzoekers hebben ook andere spionagegroepen met overheidssteun geobserveerd die cryptocurrency miners plaatsten binnen aangetaste netwerken.
• De veronderstelling dat door overheden gesponsorde Advanced Persistent Threats (APT's) inhoudelijk verschillen van geavanceerde cyberdreigingen is fundamenteel onjuist.

Ransomware blijft een serieuze dreiging

• Er is geen significante daling van ransomware, bankmalware, Point Of Sale (POS) geheugenschrapers of andere dreigingen die te koop zijn op geheime fora.
• De criminelen die SamsamCrypt en BitPaymer hebben ontwikkeld, de twee meest impactvolle ransomwarebedreigingen die door CTU-onderzoekers tijdens de verslagperiode zijn waargenomen, blijven deze exclusief en gericht gebruiken.
• De ontwikkelaars van Gandcrab - een nieuwe ransomware die in januari door CTU-onderzoekers op Russische illegale fora werd geïdentificeerd - bieden een partnerprogramma aan waarbij de ontwikkelaars 30-40 procent van de inkomsten uit succesvolle aanvallen ontvangen.
• Er is geen duidelijk bewijs dat ransomware is vervangen door andere middelen zoals cryptocurrency mining. Gerichte ransomware-aanvallen blijven een zorgwekkende trend.
• De groei van traditionele ransomware die bestanden versleutelen nam weliswaar af, maar de CTU-onderzoekers hebben tijdens de verslagperiode toch 257 nieuwe en verschillende ransomware-varianten gevonden.
• Sommige populaire nieuwe diensten bieden “ransomware-as-a-service” aan en komen regelmatig met updates en nieuwe functies.

Gestolen betaalkaartgegevens leveren miljoenen dollar op

• Geraffineerde criminele bendes combineren geavanceerde social engineering (expertise in misleiding en manipulatie) en netwerkintrusietechnieken met POS-malware om miljoenen dollars te verdienen met gestolen betaalkaartgegevens.
• De prijs van creditcardgegevens op illegale fora stimuleert criminelen om zich te richten op POS-systemen, waar creditcardgegevens via speciale malware uit het geheugen van het actieve apparaat kunnen worden onttrokken.
• Cybercriminelen zijn ook handig in het monetariseren van kaartgegevens, zelfs nadat de diefstal is ontdekt. Websites waar creditcardgegevens worden gedumpt, zoals JokerStash, worden onderzocht omdat zij dit mogelijk faciliteren voor criminelen.

Geavanceerde groepen vermijden dark web

• Geavanceerde, georganiseerde criminele groepen zorgen elk jaar voor de meeste cybercrime-schade en vermijden waar mogelijk het dark web om detectie door wetshandhavers en onderzoekers te omzeilen.
• Deze geavanceerde criminelen maken soms gebruik van eenvoudige en direct beschikbare middelen, maar hun zeer georganiseerde aanpak en groeiende vaardigheden vormen een serieuze bedreiging.

“De bevindingen van CTU-onderzoekers in de afgelopen 12 maanden laten zien dat de dreiging van cybercriminaliteit zich aanpast en zich voortdurend ontwikkelt”, concludeert het rapport. “Om de dreiging voor te blijven, is het noodzakelijk dat organisaties een holistisch beeld krijgen van het landschap en hun plek daarin. Daarnaast moeten zij hun veiligheidscontroles afstemmen op zowel opportunistische als doelgerichtere cybercriminele dreigingen.”