De term ransomware is een algemeen begrip geworden in de media waarover we dagelijks kunnen lezen in de kranten. Om de ransomware dreiging tegen te gaan, moeten we een belangrijke onderscheiding maken die vaak niet wordt uitgewerkt in de verhalen. Ransomware zelf is het einde van een aanval. Een aanval wordt niet gedaan door ransomware, het is een middel dat wordt ingezet. Ransomware beschrijft een vorm van malware, geen vorm van misdaad.
Ransomware is slechts een manier van afpersing. Wanneer organisaties hun beveiligingspositie verhogen, kan het voor de tegenstanders moeilijk zijn om toegang te krijgen tot een organisatie. Maar aanvallers kunnen een organisatie afpersen door een DDoS-aanval uit te voeren of door middel van simpele diefstal van data.
We stellen voor om de term ‘Cyber Extortion’, afgekort tot ‘Cy-X’ (uitgesproken als ‘sigh ex’) te gebruiken:
"Cy-X is een vorm van computercriminaliteit waarbij de veiligheid van een digitaal bedrijfsmiddel (vertrouwelijkheid, integriteit of beschikbaarheid) in gevaar wordt gebracht en wordt uitgebuit in een of andere vorm om een betaling af te dwingen."
De ultieme daad van afpersing houdt het plegen van meer dan één misdaad in, waaronder de ongeoorloofde toegang tot computers en gegevens aan de ene kant van het spectrum, en de daad van losgeld afpersen in de buurt van de andere.
Nu we de terminologie voor deze criminologie hebben bepaald, kunnen we verder kijken naar het dreigingslandschap en zijn actoren en slachtoffers. Wie zijn de spelers op dit gebied en welke industrieën of landen ondervinden de meeste schade hieraan?
Cy-X is een unieke vorm van cybercriminaliteit omdat we een deel van de criminele acties kunnen observeren en analyseren via 'victim shaming'-leksites.
Door ons eigen onderzoek, het analyseren en verrijken van gegevens die afkomstig zijn van de verschillende Cy-X-operator- en marktsites, kunnen we direct inzicht bieden over de samenstelling van de slachtoffers. We zullen de vermelding van een gecompromitteerde organisatie op een Cy-X-leksite een 'leak threat’ noemen.
Sinds begin januari 2020 hebben we 3.027 unieke ‘leak threats' van dit soort geïdentificeerd en gedocumenteerd bij 67 verschillende actoren. Omdat het dark web per definitie niet geïndexeerd is, kunnen we alleen de dreigingen vastleggen die we wel zien. Maar we zien wel een forse stijging, met een bijna zesvoudige toename van leak threats van het eerste kwartaal van 2020 tot het derde kwartaal van 2021.
Zoals in elke andere sector die winstgevend blijkt te zijn, ontstaat er concurrentie. Het is dan ook geen wonder dat het aantal verschillende actoren is blijven groeien. Interessant om hier op te merken is dat de groei van waargenomen dreigingen en actoren niet lineair is, zoals te zien is in onderstaande grafiek.
Er is ook een groot verschil in "grootte" van de spelers. Bijna 50% van alle bedreigingen kan worden toegeschreven aan slechts vijf 'alfa'-actoren - Conti, REvil, Maze, Egregor en LockBit 2.0. Vanuit een ander perspectief wordt de overige 50% van alle dreigingen toegeschreven aan een tweede laag van 58 verschillende groepen, waarvan 30 in de afgelopen twee jaar meer dan 10 dreigingen hebben geuit.
Laten we nu terugkeren naar de 3.027 records in onze leak site threat data om te zien in welke industrieën en landen de slachtoffers actief zijn.
Als we naar de verschillende landen kijken, kunnen we concluderen dat het relatieve aantal slachtoffers in een land eenvoudigweg een functie is van het aantal online bedrijven in dat land, dat kan worden herleid tot het relatieve BBP van dat land. Hoe groter de economie, hoe meer slachtoffers ze zal hebben.
Deze conclusie betekent echter niet dat bedrijven in andere landen geen doelwit zijn. Wereldwijd is er een even grote waarschijnlijkheid dat een bedrijf van ieder land slachtoffer kan worden. Logischerwijs geldt wel dat hoe meer bedrijven een land heeft, hoe meer slachtoffers we zullen zien.
Net als de verspreiding over verschillende landen, kunnen leak threat slachtoffers in elke branche worden gevonden. We kunnen echter twee sectoren identificeren die het hoogst scoren, namelijk Manufacturing en Professional, Wetenschappelijke en Technical Services organisaties.
Er zijn verschillende verklaringen die van toepassing kunnen zijn op deze uitkomst. Misschien denken criminelen dat deze sectoren eerder zullen betalen, of dat hun algehele cybersecurity posture niet zo robuust is als die van andere sectoren.
Als actoren zich op specifieke industrieën zouden richten, zouden we op zijn minst een zekere mate van specialisatie verwachten. Het feit dat we dat niet doen, suggereert dat deze meest voorkomende industrieën niet specifiek het doelwit zijn, maar eerder iets anders gemeen hebben. Zo stellen wij voor dat de gemene deler simpelweg is dat ze minder voorbereid zijn om aanvallen af te kunnen wenden.
Het landschap van Cy-X-dreigingsactoren is complex en dynamisch. Het totale aantal actoren groeit gestaag, zelfs als individuele actoren in de loop van de tijd komen en gaan. Hoewel een handvol 'alfa'-spelers verantwoordelijk is voor ongeveer de helft van alle misdaden, zijn er ook tientallen andere 'kleinere' spelers om mee te kampen.
Cyber Extortion blijft zich ontwikkelen, niet alleen in de technologie die wordt toe gepast, -maar ook in het bedrijfsmodel. Aangezien nieuwe vormen van afpersing continue prominenter worden, is het belangrijk dat we onze technische verdediging en andere tegenmaatregelen hierop aan weten te passen.
Dit blog is een uittreksel van onze 2022 Security Navigator. Voor meer details, cijfers en achtergrondverhalen over Cy-X kunt u het rapport hier downloaden.