Cyberafpersing gaat vaak op herhaling

Sun Sep 08 2024

09 08

Cyberafpersing gaat vaak op herhaling

10/07/2024

Door Ad Spijkers

De groei van re-victimization’ legt een zware druk op organisaties en benadrukt het belang van maatregelen.


     

Steeds meer bedrijven zijn meerdere keren het slachtoffer van cyberafpersing. Deze nieuwe, zorgwekkende trend wordt verergerd door de sterke toename van het aantal slachtoffers van cyberafpersing wereldwijd. Die conclusie trekken onderzoekers van Orange Cyberdefense in Utrecht in hun nieuwste rapport, Cy-Xplorer 2024.

In de afgelopen twaalf maanden is het aantal slachtoffers van cyberafpersing gestegen met 77% ten opzichte van het voorgaande jaar. Uit het rapport blijkt dat een steeds groter deel daarvan meerdere keren te maken heeft gehad met deze vorm van cybercriminaliteit. Re-victimization is in 2023 gegroeid met 127% ten opzichte van 2022. Vergeleken met 2020 is dat zelfs een groei van 1.533%. Uit voorlopige cijfers van dit jaar blijkt dat deze stevige groei doorzet.

Patronen

De onderzoekers onderscheiden in het rapport drie manieren waarop re-victimization plaatsvindt:

  • het opnieuw aanvallen door dezelfde dreigingsactor binnen enkele maanden;
  • het herhaaldelijk delen van gegevens van hetzelfde slachtoffer door verschillende dreigingsactoren op leaksites, met tussenpozen van enkele maanden tot jaren;
  • het ontstaan van nieuwe aanvallen na de verkoop van eerder gestolen gegevens op dark web marktplaatsen.

Volgens de onderzoekers komt het regelmatig voor dat sommige organisaties meerdere keren worden gechanteerd door verschillende groepen. Dit wijst volgens hen op een goed georganiseerde en wijdverbreide criminele infrastructuur. Aanvallers maken hierbij gebruik van elkaars opgedane inzichten om blijvende druk uit te oefenen op slachtoffers.

Rol van affiliates

Een belangrijke oorzaak van herhaalde aanvallen tegen hetzelfde bedrijf zijn volgens de onderzoekers zogenaamde 'affiliates'. Deze cybercriminelen werken samen met meerdere cyberafpersingsorganisaties. Een affiliate die mogelijk toegang heeft gekregen tot de systemen van een bedrijf tijdens een eerdere aanval, verkoopt of deelt deze gegevens met andere criminele groepen. Deze groepen voeren vervolgens hun eigen aanvallen uit, gebruikmakend van de eerder verkregen informatie om hun kansen op succes te vergroten. Dit hergebruik van gegevens leidt tot een verhoogde kans op herhaalde aanvallen, omdat verschillende groepen steeds opnieuw dezelfde kwetsbaarheden exploiteren.”

Aanbevelingen

Orange Cyberdefense adviseert de volgende maatregelen om herhaalde aanvallen te voorkomen.

  • Snelle identificatie en aanpak van kwetsbaarheden. Na een aanval is het cruciaal om zo snel mogelijk de oorzaak van de inbreuk te achterhalen. Voer een grondige forensische analyse uit om te identificeren hoe de aanvallers toegang hebben gekregen en dicht eventuele kwetsbaarheden. Dit voorkomt dat aanvallers dezelfde methoden opnieuw kunnen gebruiken.
  • Implementeer inbraakdetectiesystemen (IDS) en -preventiesystemen (IPS). Gebruik deze geavanceerde systemen om verdachte activiteiten binnen het netwerk te detecteren en te blokkeren. Deze systemen kunnen helpen bij het identificeren van pogingen tot herhaalde aanvallen door bekende dreigingsactoren.
  • Voer regelmatige pentests uit. Laat regelmatig penetratietests uitvoeren om kwetsbaarheden in systemen te identificeren en te verhelpen. Dit helpt bij het voorkomen van hergebruik van eerder misbruikte kwetsbaarheden.
  • Beheer en bewaak toegangsrechten strikt. Herzie en beperk regelmatig de toegangsrechten van gebruikers binnen het netwerk. Zorg ervoor dat alleen bevoegde personen toegang hebben tot kritieke systemen en gegevens en controleer toegangslogs op verdachte activiteiten.
  • Ga niet te snel over tot betaling. Doe dat ook niet als een verzekeraar dit dekt. Bedrijven sluiten steeds vaker een cyberverzekering af om de financiële gevolgen van een cyberaanval af te dekken. Bij een incident schakelt de verzekeraar doorgaans een incident response provider in die met de dreigingsactor onderhandelt. In veel gevallen is het voor de verzekeraar goedkoper om het gevraagde losgeld te betalen dan om de volledige schade te vergoeden. Maar als je bekend komt te staan als een partij die betaalt, maakt dat je aantrekkelijk om opnieuw aan te vallen. In plaats van het belonen van de aanvallers is het verstandiger te investeren in cybersecurity.
  • Kies voor Managed Detection & Response (MDR). Bedrijven die niet de capaciteit hebben om 24/7 waakzaam te zijn, kunnen gebruikmaken van MDR. De externe securityprofessionals kunnen wel direct ingrijpen bij incidenten en schade door herhalingsaanvallen voorkomen.

U kunt het volledige rapport met gedetailleerde analyses en aanbevelingen hier downloaden.

Foto: Orange Cybersecurity