Er is meer dan één type dreigingsactor, en ze zijn allemaal verschillend bekwaam. Waar moet u zich zorgen over maken en welke vormen geen of weinig gevaar? We leggen het je uit.
Verschillende niveaus van cybercriminelen
In de fysieke wereld zijn er verschillende niveaus van criminelen. Het is duidelijk dat degenen die diamantroof plannen en uitvoeren niet dezelfde zijn die een handtas grijpen en over straat rennen. Zo is het ook met cybercriminelen. Er zijn veel verschillende soorten bedreigingsacteurs, van de immer populaire Hollywood-troop van het kind in zijn slaapkamer tot de door de staat gesponsorde, geavanceerde aanhoudende bedreigingsgroepen die worden gebruikt voor offensieve en defensieve internationale cybercriminaliteit en cyberoorlogsvoering.
In augustus 2018 infiltreerde een team van dreigingsactoren de webserver waarop de vluchtboekingswebsite van British Airways werd gehost. Nadat ze toegang hadden gekregen tot de server, pauzeerden ze en verkenden ze. Ze bepaalden welke softwaremodules welke functies vervulden en hoe de verschillende modules met elkaar communiceerden en authentiseerden. Toen ze de module hadden geïdentificeerd waarop ze zich wilden richten, schreven ze een vervanging voor die module en verwisselden ze de gecompromitteerde module.
Omdat de website bleef werken zoals verwacht werden er geen argwaan gewekt. Boekingen werden nog steeds correct verwerkt, tickets werden uitgegeven en passagiers gingen aan boord van vluchten zonder vertragingen of problemen. Ondertussen bewaarde de vervangende module een kopie van de persoonlijke gegevens die er doorheen gingen.
Alle namen, adressen, e-mailadressen, paspoortnummers en creditcardgegevens werden weggesleurd, wachtend om door de criminelen te worden opgehaald. De frauduleuze module was actief van eind augustus tot begin september 2018. In die periode verzamelde het 380.000 sets persoonlijke gegevens.
Dit type gerichte aanval vereist veel verschillende vaardigheden. Het doelwit moet worden geselecteerd, de website moet worden gecompromitteerd, de website moet worden geanalyseerd en begrepen, en de gecompromitteerde module moet worden ontwikkeld en ingevoegd in de uitvoeringsketen van de website. Meestal is hiervoor een team van individuen nodig.
Elk teamlid heeft een specialisme of een bepaald expertisegebied dat tijdens de aanval kan worden ingezet. De operatie moet worden betaald. De cybercriminelen moeten ook goed thuis zijn in de bijbehorende criminele activiteiten in de fysieke wereld die nodig zijn om de aanval uit te betalen. Ze moeten bijvoorbeeld geld kunnen verdienen met de onderneming en hun sporen kunnen wissen. Zelfs met betaling in een cryptocurrency moeten ze mogelijk hun opbrengsten witwassen. Misschien onaangepast en verkeerd gericht, maar dit zijn intelligente, bekwame operators.
Dit roept de voor de hand liggende vraag op. Zouden zulke hoogopgeleide cybercriminelen de gemiddelde kleine tot middelgrote onderneming (MKB) aanvallen? Nee natuurlijk niet. Maar dat betekent niet dat de gemiddelde KMO zich nergens zorgen over hoeft te maken.
Met een geavanceerde service-industrie die floreert op het Dark Web om de tools, ondersteuning en zelfs om daadwerkelijke cyberaanvallen uit te voeren namens de slecht opgeleide cybercrimineel, kan praktisch iedereen een cybercriminaliteit uitvoeren. Een brede en diepe kennis van IT, cyberbeveiliging en programmeren is niet langer een vereiste om in het spel te komen.
Je hebt alleen criminele bedoelingen en internettoegang nodig.
De verschillende gedefinieerde niveaus
Het hoogste niveau
Bedreigingsactoren in het hoogste niveau hebben geavanceerde en geavanceerde vaardigheden en diepgaande kennis van het onderwerp. Ze wijden zich aan het aanvallen van hoogwaardige en vaak spraakmakende doelen. De aanvallen die plaatsvonden tegen Cathay Pacific, British Airways, Equifax en Yahoo! zijn voorbeelden van aanvallen door cybercriminelen van het hoogste niveau.
De middelste laag
De dreigingsactoren in de middelste laag hebben een matige hoeveelheid IT- en cybercriminaliteitsvaardigheden. Deze dreigingsactoren richten zich doorgaans niet op bedrijven en voeren zorgvuldig uitgevoerde aanvallen uit. Hun doelwit is iedereen die ze kunnen infecteren.
Als de dreigingactoren in de bovenste laag als sluipschutters zijn, zijn die in de middelste laag geblinddoekte machinegeweren. Ze schieten weg en kijken dan wie ze hebben geraakt. Ze zullen geld afpersen van iedereen, groot of klein.
Ze hebben voldoende vaardigheden om gedownloade broncode en malwarekits die zijn gekocht van het Dark Web te kunnen gebruiken om nieuwe soorten of varianten van bestaande bedreigingen te creëren. Ze kunnen een van de vele Cybercrime-as-a-Service-providers op het Dark Web gebruiken, hoewel dat meestal het domein is van de laagste dreigingsactor.
De onderste laag
Het laagste niveau is het onderste niveau. Ze zijn denigrerend bekend als scriptkiddies door de hackers die over echte vaardigheden beschikken. Deze wannabe-cybercriminelen kunnen basisinstructies volgen, maar ze zijn beperkt tot het gebruik van kant-en-klare en direct beschikbare tools om hun aanvallen uit te voeren. Ze hebben niet de vaardigheden en kennis om nieuwe bedreigingen voor zichzelf te creëren.
Ze maken vaak gebruik van de Cybercrime-as-a-Service-providers op het Dark Web. Net als de middelste laag maakt het ze niet uit van wie ze infecteren of afpersen. Ze zijn voor het grootste deel volledig agnostisch in hun malware-aanvallen.
Een van de veelvoorkomende aanvallen die worden gebruikt door de laagste dreigingsactor is een gedistribueerde denial of service (DDoS)-aanval. Deze aanvalscategorie is populair bij de onderste laag omdat het makkelijk uit te voeren aanvallen zijn en de software die nodig is om een DDoS-aanval uit te voeren gratis te vinden is op het reguliere internet. Een DDoS-aanval moet wel gericht zijn op een specifiek slachtoffer.
Als de bovenste laag als sluipschutters is en de middelste als machinegeweren, is de onderste laag als een bende kinderen die een pistool hebben gevonden. Ze zitten er ineengedoken omheen en kijken in het vat om te zien of het geladen is. Maar een kogel doet pijn, of de trekker nu wordt overgehaald door een scherpschutter of een idioot.
En nog meer bedreigingsacteurs
Natuurlijk is het drieledige model een vereenvoudiging. Als het heeft gediend om aan te tonen dat er verschillende expertiseniveaus zijn in de drie primaire niveaus van cybercriminelen en dat alleen het allerhoogste niveau zich richt op specifieke bedrijven voor financiële beloningen, heeft het zijn doel bereikt. Maar, zoals je mag verwachten, is het dreigingslandschap ingewikkelder en meerlagig.
Georganiseerde misdaad
Organized Crime gebruikt internet en het Dark Web voor verschillende illegale doeleinden en hervormt zijn activiteiten om te profiteren van de anonimiteit van het Dark Web en cryptocurrencies. Geneesmiddelen moeten bijvoorbeeld als gewas worden gekweekt en vervolgens worden verwerkt. Dat product moet vervoerd en gesmokkeld worden. Het wordt vervolgens verkocht en gedistribueerd via een piramide met meerdere niveaus van minder criminelen, waarbij elk lager niveau steeds minder loyaliteit aan de organisatie toont. Elk van deze niveaus brengt risico's en kosten met zich mee.
Door hun drugs op Dark Web-markten te verkopen, wordt het meerlagige distributiemodel verwijderd en kunnen criminelen zich verschuilen achter cryptocurrencies. Het vermindert de kosten en risico's voor de criminelen. Van daaruit was het maar een kleine stap om te beseffen dat cybercriminaliteit ook een aantrekkelijk model is.
De cybercriminaliteit van de georganiseerde misdaad omvat zowel de bovenste als de middelste laag. Ze hebben de financiële slagkracht om toptalent van cybercriminelen in te huren om malware voor hen te ontwikkelen, met name ransomware. Dit zijn de kop-stelende varianten van ransomware die zich wereldwijd verspreiden met verwoestend effect.
Het zijn de ransomware-bedreigingen die nieuwe aanvalsmethoden, nieuwe distributie- of infectiemethoden introduceren, of die gebruikmaken van nieuw ontdekte zero-day exploits. Net als de middenklasse operators proberen ze zoveel mogelijk slachtoffers te raken.
Hacktivisten
De term hacktivist werd halverwege de jaren 90 voor het eerst bedacht door een lid van de Cult of the Dead Cow. Ze waren een hackgroep die elkaar ontmoette in een verlaten slachthuis in Lubbock, Texas. Hacktivist is een samentrekking van het woord hacking en activist. Maar vergis je niet, hacktivisten zijn nog steeds cybercriminelen.
Hacktivisten zien zichzelf als strijders voor sociale rechtvaardigheid die aanvallen uitvoeren op doelen die, wat hen betreft, serviceonderbreking of publieke schande verdienen. Hun activiteiten zijn het digitale equivalent van fysiek activisme zoals lobbyen, verstoring van de werkplek, piketlijnen en sit-ins van studenten - en soms vandalisme.
De meest bekende hacktivistische groep is ongetwijfeld Anonymous. Het is voortgekomen uit de 4chan-website voor het plaatsen van afbeeldingen. Anonymous heeft organisaties aangevallen als Al-Qaeda, ISIS, de Ku Klux Klan, de Scientology Kerk, de anti-islamitische groep 'Reclaim Australia' en de Westboro Baptist Church.
Normaal gesproken hebben Anonymous gedistribueerde denial of Service (DDoS)-aanvallen gebruikt om de websites van slachtoffers onbruikbaar te maken, ze hebben webpagina's onleesbaar gemaakt met hun eigen politieke berichten en ze hebben privé-informatie online gelekt. Af en toe gaan ze verder en vernietigen ze websites die volgens hen vernietiging verdienen, zoals sites waarop kinderporno wordt gehost.
Zullen hacktivisten zich richten op het gemiddelde MKB? Nee, vrijwel zeker niet. Op het eerste gezicht is er geen rechtvaardiging voor een hacktivistische groep om een regulier bedrijf aan te vallen, tenzij ze een fout maken en u en uw activiteiten verkeerd identificeren.
The Lone Wolf
Net als hacktivisten wordt de eenzame wolf-hacker meestal gemotiveerd door iets anders dan geld. Bijvoorbeeld, Gary McKinnon - die door niemand minder dan Anonymous de gevaarlijkste hacker aller tijden is genoemd - raakte geobsedeerd door het idee dat NASA bewijs van buitenaardse wezens en buitenaardse technologie, zoals onbeperkte schone energie, onderdrukte. Het gerucht is begonnen door een NASA-contractant die beweerde te hebben gezien dat NASA-missiefoto's digitaal werden gewijzigd om afbeeldingen van UFO's te verwijderen.
Tussen februari 2001 en maart 2002 heeft McKinnon op afstand ingebroken in 97 NASA- en Amerikaanse militaire netwerken op zoek naar bewijs voor deze beweringen. Hij infiltreerde ook systemen van het Pentagon en de Amerikaanse marine. Hij werd gepakt en de VS vroegen om uitlevering. Dit werd uiteindelijk geblokkeerd door de Britse regering op grond van het feit dat McKinnon geestelijk onwel was.
McKinnon geeft vrijelijk toe de cybercriminaliteit te hebben gepleegd en blijft ervan overtuigd dat NASA bewijs achterhoudt van buitenaards leven en technologie. Het is vermeldenswaard dat zijn hacks bijna volledig zijn geslaagd vanwege de slechte cyberhygiëne van het slachtoffer, inclusief zwakke en voorspelbare wachtwoorden.
Veel lone wolf-aanvallen volgen deze sjabloon. Een persoon met een sociale uitdaging of anderszins verontrust, gedreven door onlogische opvattingen en overtuigingen, gebruikt matige technische vaardigheden om computersystemen binnen te dringen.
Ze hebben misschien wat technische vaardigheden, maar ze zijn naïef in het criminele veldwerk dat nodig is om een misdaad te plegen en ermee weg te komen. In de overgrote meerderheid van de gevallen worden ze heel gemakkelijk gepakt. De bedreiging die dergelijke personen vormen voor het gemiddelde bedrijf is beperkt tot onbestaande.
Door de staat gesponsorde groepen
The Oxford English Dictionary definieert cyberoorlogsvoering als:
Het gebruik van computertechnologie om de activiteiten van een staat of organisatie te verstoren, met name het opzettelijk aanvallen van informatiesystemen voor strategische of militaire doeleinden.
De Verenigde Staten, het Verenigd Koninkrijk, Iran, Israël, Rusland, China, Noord-Korea en Vietnam hebben allemaal extreem cyber-capabele offensieve en defensieve inlichtingenvleugels.
An Advanced Persistent Threat (APT) is een computernetwerkaanval waarbij ongeautoriseerde toegang wordt verkregen en gedurende een lange periode onopgemerkt blijft. De term APT is ook de groepen achter dergelijke aanvallen gaan vertegenwoordigen, vooral als er verschillende geavanceerde persistente bedreigingsaanvallen aan die groep zijn toegeschreven.
Deze geavanceerde aanhoudende dreigingen zijn cyberdreigingen met een dergelijke langdurige en technisch uitdagende ontwikkeling, waarbij grote teams met technische expertise van wereldklasse nodig zijn, dat ze worden toegeschreven aan natiestaten of, mogelijk, de grootste bedrijven. Het is mogelijk dat sommige van deze bedrijven door hun inlichtingendiensten onder druk zijn gezet om deze bedreigingen te creëren of om producten te maken met ingebouwde achterdeurtjes of andere kwetsbaarheden.
De soorten cyberdreigingen die door de door de staat gesponsorde groepen worden veroorzaakt, zijn die welke kritieke componenten van de infrastructuur van landen aanvallen. Energiecentrales, communicatie, ziekenhuizen, financiële instellingen, chemische fabrieken, elektronicabedrijven, productie, lucht- en ruimtevaart, auto's en gezondheidszorg zijn allemaal het doelwit.
Het is onwaarschijnlijk dat de gemiddelde kmo rechtstreeks door een APT wordt aangevallen. Maar je kunt nog steeds verstrikt raken in de fall-out. De NotPetya-ransomware die in 2017 bedrijven over de hele wereld aanviel, wordt beschouwd als een verkapte en wijdverbreide aanval op Oekraïne door Rusland.
Uw verdediging
Er kunnen meerdere soorten bedreigingsacteurs zijn, maar het zijn allemaal variaties op een thema. U hoeft niet te plannen om elk type afzonderlijk te dwarsbomen. Zorg ervoor dat u aandacht besteedt aan alle basisstappen bij het beveiligen van uw netwerk en let op de drie pijlers van cyberbeveiliging.
