Group-IB, heeft op haar jaarlijkse evenement CyberCrimeCon een onderzoek gedeeld dat een overzicht geeft in wereldwijde cyberdreigingen. Deze 10e editie van het rapport, Hi-Tech Crime Trends 2021/2022, richt zich op de belangrijkste ontwikkelingen in cybercrime, gebaseerd op inzichten uit H2 2020 en H1 2021.
Het wereldwijde dreigingslandschap
Het rapport biedt een analyse van de toenemende complexiteit van het wereldwijde dreigingslandschap en vergelijkt de situatie van de onderzochte periode met de voorgaande (H2 2019 tot H1 2020).
Het rapport gaat ook dieper in op de almaar groeiende rol van samenwerking tussen criminele partijen. Deze trend is met name zichtbaar in partnerships tussen ransomware-groepen, initial access brokers (IAB) en het zogenaamde Ransomware-as-a-Service-model (RaaS).
Oplichters werken samen om efficiënter te frauderen én hun praktijken te automatiseren. Daartegenover staat dat misdaden zoals creditcardfraude, doorgaans het werk van individuen, voor het eerst in tijden minder voorkwam in de onderzochte periode.
De voorspellingen en aanbevelingen in Hi-Tech Crime Trends 2020-2021 zijn erop gericht schade en downtime voor bedrijven wereldwijd te voorkomen.
Trends
Een van de grootste trends in cybercriminaliteit is een sterke toename van het aantal verkooppogingen van toegang tot bedrijfsnetwerken. Dit type cybercrime heeft een relatief lage toegangsdrempel. Slecht risicobeheer bij bedrijven en makkelijk beschikbare tools zorgden dit jaar voor een recordstijging van het aantal IAB’s.
Een van de grootste aanjagers van deze groei is de sterke toename van het aantal ransomware-aanvallen. Dankzij IAB’s hoeven ransomware-groepen namelijk niet langer zelf in te breken in bedrijfsnetwerken.
Tot slot bleken cybercriminelen hun vangnet breder uit te gooien – diverse sectoren werden aangevallen.
Een bericht over het verkopen van toegang naar een server, met de technische genoemde specificaties
De belangrijkste ontwikkelingen in IAB’s:
- Wereldwijd groeide de markt voor netwerktoegang met 16%, van $6.189.388 tot $7.165.387.
- Het aantal aanbiedingen om toegang te verkopen verdriedubbelde bijna, van 362 tot 1.099.
- In Nederland werd toegang tot 14 bedrijfsnetwerken aangeboden, vergeleken met 2 in het voorgaande jaar
- Het hoogste gevraagde bedrag in Nederland was $5.000. De goedkoopste toegang tot een bedrijfsnetwerk werd aangeboden voor slechts $10.
- Group-IB detecteerde deze keer 262 IAB’s, vergeleken met 86 vorig jaar.
De vaakst getroffen sectoren:
- De maakindustrie (9% van alle bedrijven)
- Onderwijs (9%)
- Financiële dienstverlening (9%)
- Gezondheidszorg (7%)
- Retail (7%
- Het aantal sectoren dat door IAB’s werd aangevallen steeg van 20 naar 35
De meest getroffen landen:
- Het aantal landen waarin aanvallen plaatsvonden steeg van 42 naar 68.
- Wereldwijd zijn bedrijven in de VS de populairste doelwitten: 30% van alle getroffen bedrijven zijn daar gevestigd.
- In Europa boden IAB’s toegang aan tot 261 Europese bedrijven, een verdrievoudiging ten opzichte van het voorgaande jaar (76).
- In Europa werd toegang tot Franse bedrijfsnetwerken het vaakst aangeboden (20% van alle getroffen bedrijven in Europa), gevolgd door het Verenigd Koninkrijk (18%), Italië (13%), Spanje (10%), Duitsland (9%), en Nederland (5%).
Ransomware: populairder dan ooit
De samenwerking tussen IAB’s en ransomware-groepen als onderdeel van het RaaS-model leidde tot een waar ransomware-imperium. Daarbij werd volop gebruikgemaakt van Data Leak Sites (DLS) om extra druk op slachtoffers uit te voeren. Criminelen eisen losgeld door te dreigen bedrijfsgegevens te lekken. In de praktijk zag Group-IB dat zelfs ná het betalen van losgeld criminelen toch de bedrijfsgegevens lekten op een DLS omgeving.
De belangrijkste DLS-inzichten:
- Gegevens gerelateerd aan 2.371 bedrijven werden vrijgegeven op een DLS – een ongekende stijging van 935% vergeleken met 229 slachtoffers vorig jaar.
- Analisten van Group-IB identificeerden 21 nieuwe RaaS-programma’s, een stijging van 19%.
- Het aantal nieuwe DLS-bronnen meer dan verdubbelde, van 13 tot 28.
- Ransomware-groepen gaven in de eerste drie kwartalen van 2021 47% meer gegevens over aangevallen bedrijven vrij dan in heel 2020.
- In de praktijk geven zij maar zo’n 10% van deze data vrij, dus het werkelijke aantal slachtoffers van ransomware-aanvallen ligt waarschijnlijk tientallen malen hoger.
- Het aantal bedrijven dat losgeld betaalt wordt geschat op 30%.
De actiefste ransomware-groepen:
- 2021: Conti (361 gevallen ofwel 16,5% van alle getroffen bedrijven); Lockbit (251); Avaddon (164); REvil (155); en Pysa (118).
- De top 5 van 2020 was: Maze (259); Egregor (204); Conti (173); REvil (141); en Pysa (123).
De meest getroffen landen en sectoren:
- De meeste getroffen bedrijven in 2021 waren gevestigd in de Verenigde Staten (968), Canada (110) en Frankrijk (103).
- De vaakst getroffen sectoren waren de maakindustrie (9,6%), de vastgoedsector (9,5%) en de transportsector (8,2%).
- Noord-Amerika was de meest aangevallen regio (1.213).
- Europa volgde op plek twee (gegevens van 598 bedrijven werden gelekt).
- De meeste getroffen bedrijven bevonden zich in Frankrijk (103), het VK (92), Italië (76), Duitsland (72) en Spanje (42).
- Nederland eindigde op de 11e plek met 22 getroffen bedrijven.
Phishing en de scam-demie
Ook samenwerking tussen phishing- en scam-groepen is het afgelopen jaar erg populair geworden. Deelnemers van deze organisaties hebben als doel geld en persoons- en betalingsgegevens te stelen. Deze samenwerkingen hebben vele deelnemers, een strikte hiërarchie en complexe digitale infrastructuren. Zo maken deze groepen gebruik van Telegram-bots die alle deelnemers kant-en-klare scam- en phishingpagina’s aanleveren. Dit helpt om phishingcampagnes op te schalen en aan te passen voor banken, populaire e-maildiensten en andere organisaties.
De belangrijkste phishing- en scam-inzichten
- Er zijn meer dan 70 van deze samenwerkingen actief.
- Wereldwijd werd ten minste $10 miljoen buitgemaakt.
- Het gemiddelde gestolen bedrag was naar schatting $83.
De meest getroffen landen en sectoren:
- Phishing en scam affiliate programma’s waren aanvankelijk gericht op Rusland en andere GOS-landen maar zijn onlangs begonnen met een online migratie richting Europa, Amerika, Azië en het Midden-Oosten.
- Een perfect voorbeeld hiervan is de geautomatiseerde oplichtingsdienst Classiscam: een geautomatiseerde scam-as-a-service ontworpen om geld en betalingsgegevens te stelen.
- Group-IB is op de hoogte van ten minste 71 merken uit 36 landen die door leden van dit collectief worden geïmiteerd.
- Marktplaatsen (69,5%), bezorgdiensten (17,2%) en carpooling diensten (12,8%) worden het vaakst nagebootst.
Kaartfraude op zijn retour?
Bij kaartfraude wordt misbruik gemaakt van kaartdumps, de gegevens die zijn opgeslagen op de magneetstrip van een bankkaart, en tekstgegevens zoals bankkaartnummers, adressen en CVC’s. De markt voor kaartdumps kromp dit jaar, mede onder invloed van de sluiting van het beruchte handelsplatform, Joker’s Stash. De handel in tekstgegevens werd daarentegen populairder, doordat het aantal phishing-sites die bekende merken imiteren flink toenam tijdens de voortslepende coronacrisis.
De belangrijkste inzichten omtrent kaartfraude:
- De markt voor kaartdumps daalde met 26% gedaald, van $1,9 miljard tot $1,4 miljard.
- Het aantal aanbiedingen kromp met 17%, van 70 miljoen records tot 58 miljoen.
- De gemiddelde prijs van een dump daalde van $21,88 naar $13,84.
- De maximumprijs steeg van $500 naar $750.
- De verkoop van tekstgegevens steeg met 36%, van 28 miljoen records tot 38 miljoen.
- De gemiddelde prijs voor tekstgegevens steeg van $12,78 tot $15,2
- De maximumprijs steeg met een factor 7, van $150 tot $1.000.
Europese inzichten:
- De Europese markt voor kaartfraude daalde met 46%, van $219,1 miljoen tot $118,6 miljoen.
- Het aantal verhandelde Europese betaalkaarten daalde van 7.605.022 tot 5.911.921.
- De gemiddelde prijs van tekstgegevens steeg van $15,16 naar $18,94.
- De prijs van een kaartdump daalde drastisch, van $77,29 naar $27,22.
Over dit onderzoek
Cijfers zijn onder meer gebaseerd op exclusieve data van het Threat Intelligence & Attribution-systeem van Group-IB, waarmee zelfs verwijderde informatie van criminele forums kan worden opgehaald. Daarnaast waren analisten dankzij het Threat Intelligence & Attribution-systeem van Group-IB in staat om te traceren hoe ransomware-groepen zich hebben geëvolueerd. Het Group-IB team analyseerde op basis van deze inzichten ransomware-programma’s en DLS-websites, alsook de meest agressieve vormen van ransomware.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: group-ib.com
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over cybercrime
,,Je online veiligheid is momenteel misschien wel belangrijker dan je deur op slot doen’’
English | Français | Deutsche | Español | Meer talen
Cybercriminelen blijven langer in een bedrijfsnetwerk voor ze toeslaan
Cybercriminelen brengen 36 procent meer tijd door in het netwerk van een organisatie dan een jaar geleden. Deze toename is te wijten aan het misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals van Initial Access Brokers. Ondanks een verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers deze tool vaker voor zogeheten interne laterale verplaatsing. Dat blijkt uit het ‘Active Adversary Playbook 2022’ van security-aanbieder Sophos.
Veranderingen dreigingslandschap na Russische invasie in Oekraïne
Vorige week verscheen het 'Eset Threat Report' over het eerste trimester van 2022. Het Threat Report omvat belangrijke statistieken en trends over het huidige dreigingslandschap op basis van detectiesystemen en digital securityonderzoek. De nieuwste uitgave van het Threat Report geeft een overzicht van de verschillende cyberaanvallen in verband met de aanhoudende oorlog in Oekraïne die onderzoekers analyseerden of hielpen te beperken, waaronder de wederopstanding van de beruchte Industroyer malware, die probeerde hoogspanningsstations aan te vallen.
Nederlanders gevaarlijk zelfverzekerd over cyberveiligheid
Ruim de helft van de Nederlanders (56 procent) zegt direct door te hebben als cybercriminelen hen proberen op te lichten via e-mail, internet of telefoon. Vier op de tien ondervraagden (43 procent) zegt zonder twijfel dat oplichters geen schijn van kans maken om inlog- of persoonlijke gegevens buit te maken. Dit staat in schril contrast tot het aantal slachtoffers van cybercrime en online fraude.
Digiweerbaar met de Cyber Sessies: Aflevering 6 'Zonder voorzorgsmaatregelen ga je een keer nat'
Uit cijfers van het CBS blijkt dat het afgelopen jaar zeker 2,5 miljoen personen en bedrijven slachtoffer van cybercriminelen zijn geworden. Wat kun je doen om je tegen cyberaanvallen te beschermen? Remy Gieling spreekt hierover met drie kopstukken uit de wereld van online veiligheid; Hans de Vries (CEO NCSC), Evelien Bras (directeur FERM, haven Rotterdam) en Dave Maasland (CEO ESET Nederland).
Uit de politiedata blijkt dat het aantal aangiftes van cybercrime lichtjes daalt
Het aantal meldingen van cybercrime neemt landelijk heel voorzichtig af, maar is nog altijd veel hoger dan vóór het uitbreken van de coronacrisis.
Digiweerbaar met de Cyber Sessies: Aflevering 5 'Digitaal ben je zo veilig als de zwakste schakel'
Zelf kun je je bedrijf nog zo goed tegen cybercriminelen hebben beveiligd, maar wat als een belangrijke toeleverancier wordt gehackt? In deze aflevering van Cyber Sessies draait het om hoe om te gaan met aanvallen in de leveranciersketen. Presentator Remy Gieling spreekt hierover met drie kopstukken uit de wereld van digitale veiligheid; Frank Groenewegen (partner Cyber Risk Deloitte), Erno Doorenspleet (vice president CTO KPN Security) en Daan Keuper (security researcher Computest).
Costa Rica, eerste land dat de noodtoestand afroept als gevolg van een cyberaanval
Costa Rica roept noodtoestand uit na cyberaanval, het eerste land dat de noodtoestand afroept als gevolg van een cyberaanval.
Digiweerbaar met de Cyber Sessies: Aflevering 4 'Het is niet de vraag óf, maar wanneer cyberaanvallen plaatsvinden'
Cyberaanvallen kosten de economie ruim €10 miljard per jaar en dit bedrag zal alleen maar stijgen naarmate meer en meer bedrijven dagelijks slachtoffer van online criminelen worden. In deze vierde aflevering wordt onze digitale veiligheid door de ogen van de politiek besproken. Presentator Remy Gieling spreekt met drie kopstukken uit de wereld van online veiligheid; Queeny Rajkowski (Kamerlid VVD), Inge Bryan (directeur FOX-IT) en Harm Teunis (tech-verslaggever RTL Z).
OM: “Cybercrime neemt toe met bijna een derde ten opzichte van 2020 en drie keer meer dan in 2019”
Het aandeel cybercriminaliteit is afgelopen jaar fors toegenomen. In 2021 ontving de politie 14.000 meldingen van cybercrime. Dat is een derde meer in vergelijking met het jaar ervoor. Ook de impact van cybercriminaliteit steeg vorig jaar. Dat schrijft het Openbaar Ministerie (OM) in het jaarverslag.
Digiweerbaar met de Cyber Sessies: Aflevering 3 'Ethisch hackers? Dit kunnen we van ze leren'
Deze week spreekt presentator Remy Gieling met drie kopstukken uit de wereld van online veiligheid; Pim Takkenberg (directeur cyber security Northwave), Sanne Maasakkers (security specialist Nationaal Cyber Security Centrum) en Dave Maasland (CEO ESET Nederland). De drie deskundigen gaan in op het onderwerp 'digitale veiligheid door de ogen van de aanvaller.' Door te weten hoe een aanvaller werkt, kun je je als bedrijf en burger beter verdedigen. Er wordt ingegaan op vragen als: wat doet een ethisch hacker? Waarom zou je als bedrijf met ethisch hackers in zee gaan? En welke maatregelen kunnen bedrijven treffen om het hackers - en dus ook de ethisch hackers - moeilijk te maken?
Nieuwe 'Black Basta' cybercriminelen maken in korte tijd veel slachtoffers
Een nieuwe hackersgroep genaamd 'Black Basta' timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta.