Cyberafpersing: dit zijn de 10 opvallendste trends

Cyberafpersing laaide na een kleine dip in het eerste kwartaal van 2023 weer stevig op. Dat blijkt uit het Cy-Xplorer-rapport 2023 van Orange Cyberdefense. Dit zijn de 10 meest opvallende trends uit het rapport.

1. Nog nooit lag het aantal slachtoffers van cyberafpersing zo hoog
   In het eerste kwartaal van 2023 bereikte het aantal slachtoffers van cyberafpersing wereldwijd een nieuw record. Dat is zeer opvallend, omdat in 2022 het aantal slachtoffers juist 8 procent daalde ten opzichte van het jaar daarvoor.

2. De industrie is het vaakst slachtoffer, maar minder vaak dan in 2021
   Cyberafpersing vindt het vaakst plaats in de industrie. Van alle getroffen organisaties was 20% afkomstig uit deze sector. Toch daalde het aantal slachtoffers in deze sector met bijna 40% ten opzichte van 2021. Een belangrijke reden hiervoor is de ontmanteling van de Conti-groep, een beruchte hackersgroep met Russische wortels.

3. Dreiging voor onderwijssector is flink gegroeid
   De onderwijssector kreeg de volle laag. Het aantal incidenten nam in deze sector met 41% toe. Die stijging werd voornamelijk veroorzaakt door de Vice Society-groep. Deze hackersgroep van Russische oorsprong heeft het vooral gemunt op organisaties uit de gezondheidszorg en het onderwijs.

4. Mkb-organisaties lopen net zoveel risico als grote bedrijven
   Voorheen richtten cybercriminelen hun pijlen vooral op grote multinationals. Met die trend werd in 2022 gebroken. De spreiding van slachtoffers binnen grote, middelgrote en kleine bedrijven was vrijwel gelijk. Weliswaar lag het absolute aantal getroffen kleine organisaties 4,5 keer hoger dan middelgrote en grote organisaties samen, in verhouding lopen ze allemaal net zoveel risico.

Uiteerder onderzoek van Orange Cyberdefensebleek het mkb in 2022 bovendien steeds vaker het slachtoffer van malware-aanvallen (49% in 2022, ten opzichte van 10% in 2019 en 24% in 2020). Veel gevallen van cyberafpersing beginnen met een malware-aanval. Bovendien is de gemiddelde schade van een ernstig cyberincident voor organisaties met minder dan 500 medewerkers ruim 1,7 miljoen euro. Dat leidt voor kleinere organisaties niet zelden tot een faillissement. Mkb-organisaties kunnen zich dus niet veilig wanen.

5. Cybercriminelen blijven het liefst apolitiek
   Financieel gewin blijft de voornaamste drijfveer voor cybercriminaliteit. Sterker nog, cybercriminelen blijven het liefst apolitiek. Hackersgroepen die zich nadrukkelijk pro-Russisch uitspraken, betaalden hiervoor in 2022 een stevige prijs. Zo werd de Conti-groep nadat ze zich nadrukkelijk pro-Russisch hadden uitgesproken actief vervolgd en ontmanteld.

6. Rusland is een veilige thuishaven voor aanvallen op westerse organisaties
   Ondanks het feit dat cybergroeperingen liever apolitiek blijven, zijn geopolitieke ontwikkelingen wel degelijk van invloed op het dreigingslandschap. Zo is Rusland een relatief veilige thuishaven geworden voor cybercriminelen die hun pijlen hebben gericht op westerse organisaties en natiestaten. Rusland werkte soms mee met het Westen als het gaat om opsporing van Russische cybercriminelen. Denk hierbij aan de arrestatie van Evgeniy Bogachev, een Russische hacker die betrokken was bij het ontwikkelen en verspreiden van de beruchte Zeus-botnet-malware. Vandaag de dag is er helemaal geen samenwerking meer.

7. ‘SEO-poisoning’ steekt opnieuw de kop op
   In 2022 genoot een oude aanvalsmethode genaamd SEO-poisoning hernieuwde populariteit als aanvalsmethode. Hierbij manipuleren cybercriminelen de gesponsorde zoekresultaten bovenin de zoekpagina. Op die manier lokken ze bezoekers naar met malware geïnfecteerde webpagina’s. SEO-poisoning is een zeer effectieve manier van social engineering, omdat veel mensen er blind vanuit gaan dat de bovenste zoekresultaten ook de beste en bovendien veilig zijn.

8. Aanvallers gebruiken naamcensuur als extra pressiemiddel
   In 2022 werden namen van slachtoffers op datalekwebsites steeds vaker deels gecensureerd. Dat gebeurde allesbehalve uit goede bedoelingen. Cybercriminelen onthulden bij het uitblijven van betaling iedere dag meer karakters. Op die manier oefenden ze druk uit op slachtoffers die niet willen dat hun namen openbaar worden vermeld op dergelijke websites. Deze strategie werd voor het eerst gebruikt door de Play-hackgroep in november 2022, en kort daarna door de BianLian-hackgroep.

9. Cybergroeperingen opereren professioneel, maar zeker niet foutloos
   Cybercriminelen professionaliseren hun aanvalsmethoden in hoog tempo. Toch gaat er ook veel mis. Zo lekte de Conti-groep maar liefst 60.000 chatberichten naar de buitenwereld. Kort na het lek werd de groep ontmanteld.

Ook bij het hackerscollectief Hive ging het fout: hun interne netwerk bleek zes maanden lang gehackt te zijn door wetshandhavingsinstanties uit de Verenigde Staten. Daardoor konden uiteindelijk veel Hive-slachtoffers hun data weer ontsleutelen.

10. Westerse overheden treden steeds strenger op
Westerse overheden en wetshandhavingsinstanties zijn agressiever gaan optreden tegen cyberafpersing. Zo hebben sommige landen verboden dat bedrijven losgeld betalen aan cybercriminelen. Ook is de pakkans vergroot, maken handhavingsdiensten steeds vaker de infrastructuur van cybercriminelen onbruikbaar en nemen ze regelmatig de buit van cyberaanvallers in beslag.

Die strengere overheidsaanpak lijkt te werken

Die strenge aanpak lijkt te werken. Cybercriminelen passen zich aan en zoeken naar regio's met een lager risiconiveau. Landen met minder proactieve securitymaatregelen uit Latijns-Amerika, Zuidoost-Azië en Oceanië zijn nu vaker het gekozen doelwit. Niet-NAVO-landen die het vaakst slachtoffer waren, zijn onder andere Australië, Zwitserland, Thailand en Taiwan.

De onderzoekers van Orange Cyberdefense benadrukken overigens dat, ondanks het succes van een strengere overheidsaanpak, de strijd tegen cyberafpersing nog lang niet gestreden is. Volgens hen is een nog intensievere samenwerking tussen het bedrijfsleven en de overheid hard nodig voor een blijvend positief resultaat.

Orange Cyberdefense volgt Cyber Extortion-activiteiten consequent sinds 2020 en verzamelde inmiddels informatie over meer dan 6.500 slachtoffers. Het complete rapport is hier te downloaden.