De afgelopen jaren is niet alleen het aantal cybercrime kartels in Europa toegenomen, maar ook het niveau van verfijning van hun aanvallen. Uit het ‘Modern Bank Heist’ rapport van Vmware blijkt dat de aanvallers steeds agressiever worden. Lees meer.

Door Tom Kellermann, Head of Cybersecurity Strategy bij Vmware. Volgens onderzoek van het Britse kabinet vinden jaarlijks in Europa de meeste cybercrime-aanvallen plaats in het Verenigd Koninkrijk, gevolgd door Frankrijk. Machtige cybercrime-groepen functioneren nu als multinationals en worden door traditionele criminele organisaties gebruikt om illegale activiteiten uit te voeren, zoals afpersing en witwassen. Deze kartels zijn georganiseerder dan ooit tevoren en krijgen meer bescherming en middelen van de nation-states die hen zien als nationale assets.

Met dit in het achterhoofd en de bedreigingen waarmee financiële instellingen worden geconfronteerd, zijn 130 financiële security leaders en CISO’s geïnterviewd voor de vijfde editie van het Modern Bank Heist rapport van VMware. De resultaten van dit jaar zijn een serieuze waarschuwing voor de financiële sector, omdat aanvallers steeds agressiever worden.

Geopolitieke spanningen breiden uit naar cyberspace
Cybercriminelen die zich op de financiële sector richten escaleren hun destructieve aanvallen vaak om bewijs te vernietigen als onderdeel van hun counter incident response. Uit ons rapport bleek dat 63% van de financiële instituten dit jaar meer destructieve aanvallen ervaarden, een toename van 17% ten opzichte van het jaar ervoor. Destructieve aanvallen worden uitgevoerd om de systemen van slachtoffers te vernietigen, te verstoren of te degraderen door het versleutelen van bestanden, data te verwijderen, hard drives te vernietigen, connecties te verbreken of kwaadaardige codes uit te voeren. Een voorbeeld is destructieve malware zoals HermeticWiper, dat werd gelanceerd na de Russische invasie van Oekraïne. De meerderheid van de financiële leiders die we voor dit onderzoek spraken gaf aan dat Rusland op dit moment de grootste dreiging vormt voor hun organisatie.

Het jaar van de RAT
Financiële instellingen waren zeker niet immuun voor de recente heropleving van ransomware. 74% van de financiële security leaders kreeg dit jaar te maken met één of meerdere ransomware-aanvallen. 63% van de slachtoffers betaalde uiteindelijk het losgeld. Dit is een enorm hoog aantal.

Een van de redenen waarom traditionele criminele organisaties loyale dark web-gebruikers zijn geworden, is omdat het een goed gefinancierd ecosysteem is van readymade en beschikbare ransomware-kits. Cybercrime kartels, zoals de Conti ransomware groep, hebben het voor hun partners enorm eenvoudig gemaakt om ransomware-aanvallen uit te voeren op belangrijke sectoren, zoals de financiële sector. Dit kan de recente heropleving van ransomware verklaren.

Een technische analyse in het meest recente threat-rapport van de VMware Threat Analysis Unit biedt inzicht in de verspreiding van ransomware en hoe Remote Access Tools (RAT’s) kwaadwillenden helpen controle te krijgen over systemen. Dankzij deze tools kunnen kwaadwillenden in de omgeving blijven en een staging server opzetten die gebruikt kan worden om andere systemen aan te vallen. Zodra een kwaadwillende deze beperkte toegang heeft gekregen, zal deze doorgaans proberen om er geld mee te verdienen door de gegevens van het slachtoffer te gebruiken voor afpersing (inclusief dubbele en driedubbele afpersing) of door middelen te stelen van cloudservices met behulp van cryptojacking-aanvallen.

Manipulatie van financiële markten
Cybercrime kartels hebben zich gerealiseerd dat de belangrijkste asset van een financieel instituut de niet-publieke marktinformatie is. Twee op de drie (66%) ondervraagden hebben te maken gehad met aanvallen die zich specifiek richtte op marktstrategieën. Daarnaast gaf één op de vier (25%) aan dat de marktdata het primaire doelwit was voor cyberaanvallen op hun financiële instituut.

Waar zijn deze cybercrime kartels naar op zoek? In plaats van met bankovervallen hebben we te maken met economische spionage, waarbij cybercriminelen zich richten op bedrijfsinformatie of -strategieën die de aandelenkoers van de organisatie kunnen beïnvloeden zodra het openbaar wordt. Deze informatie kan gebruikt worden om insider trading te digitaliseren en voorop te lopen in de markt. Ons onderzoek vond verder dat 44% van de Chronos-aanvallen gericht was op marktposities. Bij een Chronos-aanval draait het onder andere om de manipulatie van tijdstempels – een zorgwekkende ontwikkeling gezien de cruciale rol van de klok speelt in deze markten.

Een goede verdediging is de beste aanval
Beveiliging is een top-of-mind probleem geworden voor financiële leiders. Volgens ons rapport plant de meerderheid van de financiële instituten om hun beveiligingsbudget dit jaar met 20-30% te verhogen en beschouwt de meerderheid extended detectie en response (XDR) als hun investeringsprioriteit.

Als security leaders weten we dat een goede verdediging de beste aanval is. Beveiligingsteam zouden op wekelijkse basis moderne threat hunting uit moeten voeren zodat ze afwijkingen in gedrag kunnen detecteren, aangezien kwaadwillenden zich reeds schuil kunnen houden in het systeem van een organisatie. Uit ons rapport blijkt dat momenteel slechts 51% van de financiële instellingen wekelijks threat hunts uitvoert. Ik heb goede hoop dat dit aantal in het rapport van volgend jaar zal toenemen, aangezien programma’s voor het opsporen van bedreigingen meerdere resultaten kunnen hebben dan enkel het vinden van een cybercrimineel, zoals het vergroten van threat intelligence.

In het veranderende dreigingslandschap van vandaag de dag is cybersecurity noodzakelijk geworden om een merk te beschermen. Vertrouwen hebben in de veiligheid van financiële instellingen hangt samen met het effectief kunnen vermijden, beperken en reageren op moderne cyberdreigingen. Nu bestuursorganen nieuwe regelgeving invoeren en forse boetes opleggen, wordt het tijd dat de sector de controle terug krijgt en de cybercrime kartels een stap voor blijft.