Redactie - 14 december 2022

Tien voorspellingen van cyberdreigingen voor 2023

Tien voorspellingen van cyberdreigingen voor 2023 image

De wereld van vandaag is meer dan ooit digitaal afhankelijk. IT-omgevingen worden steeds complexer, en kleine gebreken in hun veerkracht kunnen grote gevolgen hebben voor het vermogen van een organisatie om te blijven functioneren ondanks beveiligingsincidenten of -inbreuken. In 2023 zullen tien trends het cyberbeveiligingslandschap waarschijnlijk vormgeven zo schrijft Candid Wuest, vicepresident Cyber Protection Research bij Acronis, in deze blog.

1. Authenticatie - ben jij het echt?

Authenticatie en Identity Access Management (IAM) zal vaker succesvol worden aangevallen. Op dit moment stelen en omzeilen veel aanvallers al multifactorauthenticatietokens (MFA). In andere situaties kan het overstelpen van targets met verzoeken, bijvoorbeeld bij MFA-vermoeidheidsaanvallen, leiden tot succesvolle aanmeldingen, zonder dat aanvallers eerst een kwetsbaarheid hoeven te vinden. De recente aanvallen op Okta en Twilio tonen aan dat ook die externe diensten worden gehackt. Dat komt natuurlijk nog bovenop de blijvende problemen met zwakke of hergebruikte wachtwoorden van de afgelopen jaren. Net daarom is het erg belangrijk om te begrijpen hoe authenticatie werkt, wie je gegevens bekijkt en hoe ze toegang krijgen tot die gegevens.

2. Ransomware - een blijvende dreiging

De ransomwaredreiging is er nog en blijft evolueren. Hoewel we een verschuiving zien naar meer exfiltratie van gegevens, blijven de belangrijkste actoren hun activiteiten professionaliseren. Zo hebben de meeste grote spelers hun activiteiten uitgebreid naar MacOS en Linux en kijken ze nu ook naar de cloudomgeving. Nieuwe programmeertalen, zoals Go en Rust, duiken steeds vaker op en vereisen aanpassingen in de analysetools. Het aantal aanvallen zal blijven toenemen omdat ze nog steeds winstgevend zijn, vooral als de cyberverzekering een deel van de gevolgen blijft dekken. Aanvallers zullen steeds vaker proberen om beveiligingsprogramma's en back-ups te verwijderen en, indien mogelijk, noodherstelprogramma's uit te schakelen. De Living-off-the-Landtechnieken zullen daarbij een belangrijke rol spelen.

3. Datalekken - iedereen is slachtoffer

Aanvallers gebruiken tegenwoordig steeds vaker informatiestelende malware, zoals Racoon en Redline, om infecties te veroorzaken. Tussen de gestolen data zitten vaak gebruikersgegevens, die vervolgens doorverkocht worden voor verdere aanvallen via initial access brokers. Het groeiende aantal blobs van gegevens in combinatie met de complexiteit van onderling verbonden cloudservices zal het voor organisaties moeilijker maken om hun gegevens bij te houden. Meerdere partijen moeten toegang hebben tot die gegevens en dat maakt het moeilijker om ze versleuteld en beschermd te houden. Een gelekte API-toegangssleutel, bijvoorbeeld op GitHub of de mobiele app, kan al genoeg zijn om alle gegevens te stelen. Die dreiging zal een vooruitgang op het gebied van privacy-vriendelijk computergebruik teweegbrengen.

4. Niet alleen phising via e-mails

Er worden nog steeds miljoenen schadelijke e-mails en phishing-aanvallen verstuurd. Aanvallers zullen blijven proberen om de aanvallen te automatiseren en te personaliseren met eerder gelekte gegevens. Oplichtingspraktijken via social engineering, zoals Business Email Compromise Attacks (BEC), zullen zich steeds meer verspreiden naar andere berichtenservices zoals sms, Slack, Teams-chat, enz. om filtering en detectie te vermijden. Bij phising zullen aanvallers daarentegen proxies blijven gebruiken om sessietokens te verzamelen en MFA-tokens te stelen. Ook via afleidingen zoals QR-codes zullen ze zich verder proberen te verbergen.

5. Niet zo slimme contracten

Een einde aan de aanvallen op cryptocurrency-beurzen en smart contracts op de verschillende blockchains lijkt nog niet in zicht. Zelfs staatsaanvallers proberen honderden miljoenen aan digitale valuta te stelen. De meer gesofisticeerde aanvallen op smart contracts, algoritmische munten en DeFi-oplossingen gaan door, naast de klassieke phishing- en malware-aanvallen op hun gebruikers.

6. Leven van je infrastructuur

Serviceproviders worden steeds vaker aangevallen en gehackt. De aanvallers misbruiken daarbij de geïnstalleerde tools zoals PSA, RMM of andere deployment tools als Living-off-the-Landstrategie. Die providers zijn niet alleen beheerde IT-serviceproviders, maar ook adviesbureaus, organisaties voor eerstelijnsondersteuning en gelijksoortige verbonden partners. Die outsourced-insiders worden vaak ingezet als de zwakste schakel in een doelwitorganisatie, zonder dat er nauwgezet softwaresupplychain-aanvallen worden opgezet.

7. Aanvallen vanuit de browser

Tijdens browsersessies zullen er in of via de browser steeds vaker aanvallen gebeuren. Met schadelijke browserextensies zullen aanvallers op de achtergrond doeladressen van transacties verwisselen of wachtwoorden stelen. Er doet zich ook een trend voor waarbij ze de broncode van die tools stelen en de backdoors via de GitHub repository toevoegen. Daarnaast zullen ook websites hun gebruikers blijven opsporen met JavaScript en te veel informatie over hun sessie-id's blijven delen met marketingservices via HTTP-referrers. Aanvallers zullen hun Formjacking/Magecart-technieken uitbreiden, waarbij kleine toegevoegde fragmenten alle informatie op de achtergrond van de oorspronkelijke website stelen. De analyse van zo'n aanval kan door de toename van serverless computing ingewikkelder worden.

8. Cloudautomatisering via API's

Er gebeurde al een enorme verplaatsing van gegevens, processen en infrastructuur naar de cloud. Die verplaatsing zal blijven doorgaan door de automatisering tussen verschillende services. Veel IoT-apparaten zullen deel uitmaken van die grote hyperverbonden wolk van services. Daardoor zullen veel API's via het internet toegankelijk zijn en dus vaker aangevallen worden. De automatisering kan met andere woorden grootschalige aanvallen uitlokken.

9. Aanvallen op bedrijfsprocessen

Aanvallers zullen altijd met nieuwe ideeën komen om bedrijfsprocessen te manipuleren met het oog op eigen voordeel en winst. Ze zullen bijvoorbeeld de gegevens van een ontvangende bankrekening in de template van het factureringssysteem van een organisatie wijzigen, of hun eigen cloud bucket als back-upbestemming voor de e-mailserver toevoegen. Bij die aanvallen gaat het vaak niet om malware en is een nauwkeurige analyse van het gebruikersgedrag vereist, zoals bij het groeiende aantal aanvallen van binnenuit.

10. Overal AI

Bedrijven van alle groottes en sectoren zullen AI- en ML-processen inzetten. De vooruitgang in de creatie van synthetische gegevens zal sommige identiteitsfraude- en desinformatiecampagnes met deep fake content verder aanwakkeren. Zorgwekkender zijn echter de aanvallen op de AI- en ML-modellen zelf. Aanvallers zullen proberen de zwakheden in het model te misbruiken, opzettelijk vertekeningen in gegevenssets aan te brengen of eenvoudigweg de triggers te gebruiken om IT-activiteiten te overspoelen met waarschuwingen.

Door: Candid Wuest, vicepresident Cyber Protection Research, Acronis