REPORTAGE
New Security Magazine 173 – februari 2025
In 2024 werden heel wat initiatieven in cybersecurity afgerond zoals het VN-Verdrag tegen cybercriminaliteit en de Brits/Franse samenwerking in de Pall Mall-actie om misbruik van spyware tegen te gaan. In de EU werden belangrijke wetten goedgekeurd, waaronder de AI Act, de Cyber Resilience Act (CRA), de Cyber Solidarity Act alsook de NIS2. Nu wordt dit voortgezet met nieuwe strategieën en financiering om de cyberdefensie van de Unie te versterken. In de VS introduceerde een update van de National Cyber Security Strategy 100 initiatieven om de cyberweerbaarheid te versterken. Belangrijke acties, zoals het Executive Order on Maritime Cyber Security, beveiligen havens en schepen. De Australische regering legde de basis voor een wetsvoorstel over cyberveiligheid, met maatregelen om weerstand te bieden en een verplichte rapportage van losgeldbetalingen. Niettegenstaande dit alles blijft dit jaar de situatie zorgwekkend. Men hoeft geen helderziende te zijn om te weten dat cyberdreigingen blijven toenemen, zowel in volume als in verfijning, door technologische vooruitgang, kwetsbaarheden in generatieve AI-systemen, geopolitieke spanningen en aantrekkelijke beloningen voor staten en leiders.
Bij Ransomware werd RansomHub de leidende RaaS-groep en nam het de plaats in van de onderbroken LockBit-service. Verwacht wordt dat het dit jaar die positie lang zal behouden. RaaS is echter een zeer competitieve cyber-criminele omgeving waar bendes vaak innovaties en veranderingen in hun partnerprogramma’s bedenken, in een poging om meer partners aan te trekken en winstgevender te worden. Als sommige concurrenten winstgevender blijken te zijn, kunnen bekwame partners hun allianties heel goed aanpassen.
EDR-killers komen vaak voor in ransomware-aanvallen. Dit jaar zullen de meest geavanceerde spelers dit type tools verbeteren, waardoor ze steeds beter beschermd en moeilijker te detecteren worden. Deze trend laat zien dat beveiligingstools zoals EDR een doorn in het oog zijn van cybercriminelen en dat ze er alles aan doen om ze te verwijderen of uit te schakelen. De meeste nieuwkomers die hun plek in het RaaS-ecosysteem proberen te veroveren, zullen hun encryptors hoogstwaarschijnlijk coderen in Rust of Go, zoals de gevestigde groepen, om een bredere verspreiding op alle platformen mogelijk te maken met slechts één enkele code.
Voor AI wordt geanticipeerd op een geopolitieke verschuiving en de mogelijke deregulering van sociale media en technologiebedrijven. Dat kan leiden tot een slechtere kwaliteit van de content, in combinatie met een snelle toename van door AI gegenereerde spam-, scam- en phishing-campagnes, een trend die al in 2024 werd waargenomen. Door AI gegenereerde content van lage kwaliteit kan ook dienen als lokaas voor kwetsbare gebruikers van sociale media, die dan het doelwit kunnen worden van desinformatie-campagnes en gemanipuleerd worden om de “online versterkers” ervan te worden. Dit zou de activiteiten van content farms en troll farms, die momenteel gebruikt worden door vijandige staten en groepen, semi-automatisch kunnen maken.
Voorspeld wordt dat aanvallers recente ontwikkelingen in kleine open-source GPT-modellen gaan gebruiken, door ze te trainen op gegevens van gekaapte sociale media-accounts. Dit kan hen in staat stellen om communicatiestijlen na te bootsen en slachtoffers te imiteren in verschillende scams, zoals familiale noodgevallen of romance scams, waardoor deze frauduleuze activiteiten nog meer gaan overtuigen.
Dit jaar is er ook een toename van het aantal nep- of dubbele accounts voor beroemdheden en andere publieke figuren op sociale media. Deze kwaadaardige profielen gebruiken deepfake-video’s en andere door AI gegenereerde content om legitiem en betrouwbaar over te komen. Daardoor neemt het belang van authenticiteitsverificatie-tools toe, zoals ‘geverifieerde’ badges op sociale media.
Vrij zeker is dat, in 2024, Operatie Magnus het einde van RedLine Stealer betekende. Hoewel de maker van RedLine (vandaag) nog niet gearresteerd is en in theorie kan proberen om het opnieuw te proberen, is het onwaarschijnlijk dat hij de malware nieuw leven wil inblazen, vooral nadat hij publiekelijk geïdentificeerd is en aangeklaagd werd door het gerecht.
Het andere belangrijke onderdeel van de RedLine-operatie – namelijk de aangesloten bedrijven – zal wellicht nog verder willen, daar de ordediensten nu de database heeft met hun gebruikersnamen en laatst gebruikte IP. Hoewel dit misschien onvoldoende is om de mensen achter die aliassen te identificeren, worden ze nu beschouwd als “zeer belangrijk voor de politie”. Het machtsvacuüm ontstaan door de takedown van RedLine, zal wellicht leiden tot een toename van de activiteit van andere MaaS-infostealers.
In 2024 analyseerde ESET aanvallen, uitgevoerd met behulp van een nieuwe compromis-vector gericht op Android- en iOS-mobiele toestellen. Het maakt gebruik van Progressive Web Apps (PWA’s) en WebAPK’s om traditionele beveiligingsmaatregelen te omzeilen en gebruikers te misleiden om kwaadaardige apps te installeren die bankgegevens stelen. Deze apps bootsen legitieme bankinterfaces na, zodat aanvallers inloggegevens, wachtwoorden en codes van tweefactor-authenticatie kunnen verkrijgen, die dan gebruikt worden om onrechtmatige toegang te krijgen tot de accounts van slachtoffers.
Terwijl cybercriminelen blijven innoveren, zal het gebruik van PWA’s en WebAPK’s voor kwaadaardige doeleinden nog toenemen. Deze technologieën bieden aanvallers een handige en efficiënte manier om phishing-apps te verspreiden zonder dat ze goedkeuring van de app store nodig hebben. De platformonafhankelijke aard van PWA’s stelt aanvallers ook in staat om een breder publiek te benaderen, waardoor dit soort aanvallen meer schaalbaar en veelvuldig worden.
Op basis van de aanvallen met PWA’s en WebAPK’s wordt een toename verwacht van bedreigingen die zich richten op het iOS-platform. Historisch gezien hebben de strenge beleidsregels van de Apple App Store het lastig gemaakt om kwaadaardige apps te verspreiden, bijgevolg denken gebruikers dat hun iOS-toestellen inherent veilig zijn. Bedreigingen kunnen ook verspreid worden via alternatieve kanalen, zoals kwaadaardige websites, phishing-aanvallen, gecompromitteerde e-mailbijlagen, social engineering-tactieken en kwaadaardige advertenties die in zoekmachines, op sociale media en op websites worden geplaatst, waarvan geen enkele afhankelijk is van de App Store. Anderzijds reageert Apple meestal op nieuwe bedreigingen en werkt het zijn beveiligingsmechanismen bij.
We zullen ook een toename zien in mobiele en niet-mobiele malware die de open-source Flutter software development kit (SDK) gebruikt. Flutter is ontworpen voor het bouwen van multi-platform-apps en vereenvoudigt de ontwikkeling. Het wordt ook gebruikt om malware en trojan-apps efficiënter te maken en te verspreiden.
Sommige SpyLoan-apps hebben bijvoorbeeld al misbruik gemaakt van deze SDK. Flutter wordt eveneens gebruikt als een anti-analytische tool om reverse engineering-inspanningen complexer te maken. Of het gebruik van Flutter voor dergelijke doeleinden zal toenemen, hangt af van verschillende factoren, waaronder het leren van de Dart-programmeertaal door dreigingsactoren. Belangrijk om weten is dat de cybersecurity-community actief nieuwe tools en technieken creëert om de complexiteit van Flutter-apps te ontleden en te begrijpen.
Nu NIS2 verplicht is, moeten de EU-landen de directieve in hun nationale wetgeving opnemen. Slechts een paar landen hebben dit gedaan, waarbij grote landen als Duitsland en Frankrijk het naar verwachting dit jaar zullen implementeren maar deze herschikking zal niet identiek zijn in alle EU-landen. Organisaties die streven naar naleving ervan moeten bewust zijn van lokale specificiteiten.
Hoewel micro- en kleine bedrijven meestal vrijgesteld zijn, kunnen grotere ondernemingen in bepaalde kritieke sectoren naleving eisen van hun leveranciers – waaronder kleinere bedrijven – om te voldoen aan rapportageverplichtingen in geval van een cyberincident. Leveranciers en verkopers van alle groottes moeten dus voorbereid zijn, anders lopen ze het risico om in de toekomst uitgesloten te worden.
In bepaalde sectoren die onder NIS2 vallen, kunnen strengere veiligheidsmaatregelen cybercriminelen ertoe aanzetten zich te richten op gemakkelijkere doelen, zoals organisaties die niet onder de richtlijn vallen.
Organisaties die niet kunnen voldoen aan de verplichte strengere normen van de richtlijn, lopen ook een groter risico op afpersing. Deze situatie kan gaan lijken op wat er in 2018 gebeurde, toen de GDPR regelgeving in 2018 van kracht werd en ransomware-bendes deze als hefboom tegen hun slachtoffers begonnen te gebruiken.
In 2024 werd ook nieuwe EU-cyberwetgeving goedgekeurd, waaronder de AI Act, ontworpen om AI-systemen te reguleren met een focus op transparantie en vertrouwen; de Cyber Resilience Act (CRA), die de cyberbeveiliging van producten met digitale elementen waarborgt; en de Cyber Solidarity Act, die een netwerk van onderling verbonden security operations centers (SOCs) in de hele EU opricht. Dit momentum zou in 2025 moeten aanhouden, ondersteund door bijkomende strategieën en nieuwe financiering gericht op het versterken van de cyberdefensie-capaciteiten van de EU, een belangrijke prioriteit van de nieuwe Europese Commissie.
