Sophos heeft zijn Threat Report 2023 gepubliceerd. Het rapport laat zien hoe het cyberdreigingslandschap een nieuw niveau van commercialisering en gemak heeft bereikt voor potentiële aanvallers door de uitbreiding van cybercrime-as-a-service, waardoor nu bijna iedereen toegang heeft tot het plegen van cybercriminaliteit. Het rapport beschrijft ook hoe ransomware voor organisaties een van de grootste cyberdreigingen blijft.
Criminele ondergrondse marktplaatsen zoals Genesis hebben het lang mogelijk gemaakt om malware en diensten om zelf malware te maken (‘malware-as-a-service’) te kopen, of om gestolen inlog- en andere gegevens in bulk te verkopen. In de afgelopen tien jaar, met de toenemende populariteit van ransomware, ontstond er een heuse ‘ransomware-as-a-service’-economie. Nu, in 2022, is dit ‘as-a-service’-model uitgebreid en is bijna elk aspect van de cybercrime toolkit – van de eerste besmetting tot manieren om detectie te voorkomen – te koop.
“Er worden niet alleen de gebruikelijke malware-, zwendel- en phishing-kits te koop aangeboden”, zegt Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos. “Cybercriminelen van een hoger niveau verkopen nu ook tools en mogelijkheden die ooit enkel in handen waren van de meest geavanceerde aanvallers als service aan andere actoren. Vorig jaar zagen we bijvoorbeeld advertenties voor OPSEC-as-a-service, waarbij de verkopers aanboden om aanvallers te helpen bij het verbergen van Cobalt Strike-besmettingen. Ook zagen we scanning-as-a-service, waarmee kopers toegang krijgen tot legitieme commerciële tools als Metasploit om zwakke plekken op te sporen en die vervolgens uit te buiten. De commoditisering van bijna elk onderdeel van cybercriminaliteit heeft een invloed op het dreigingslandschap en biedt interessante kansen voor elk type aanvaller met elk type vaardigheidsniveau.”
Met de uitbreiding van de ‘as-a-service’-economie worden ondergrondse marktplaatsen voor cybercriminaliteit steeds meer gecommercialiseerd en werken ze als reguliere bedrijven. Verkopers van cybercriminaliteit maken niet alleen reclame voor hun diensten, maar bieden ook vacatures aan om aanvallers met specifieke vaardigheden aan te werven. Sommige marktplaatsen hebben speciale pagina’s voor het zoeken naar hulp en het aanwerven van personeel, terwijl werkzoekenden er samenvattingen van hun vaardigheden en kwalificaties posten.
“De eerste leveranciers van ransomware waren eerder beperkt in wat ze konden doen omdat hun activiteiten gecentraliseerd waren; de groepsleden voerden elk aspect van een aanval uit. Maar naarmate ransomware steeds winstgevender werd, zochten ze naar manieren om hun producties op te schalen. Ze begonnen daarom delen van hun activiteiten uit te besteden, waardoor ze een volledige infrastructuur creëerden om ransomware te ondersteunen. Nu laten andere cybercriminelen zich inspireren door het succes van die infrastructuur en volgen ze dit voorbeeld”, aldus Gallagher.
Het volledige Threat Report 2023 van Sophos is hier te lezen.
