Cybercriminelen proberen steeds vaker bedrijven meerdere keren af te persen wanneer hun gegevens zijn buitgemaakt. Dat blijkt uit de Cy-Xplorer 2024, het meest recente rapport van Orange Cyberdefense. De onderzoekers signaleren wereldwijd een toename van zogeheten ‘re-victimization’.
Sowieso is het het aantal bedrijven dat de afgelopen 12 maanden te maken kreeg met afpersing door cybercriminelen met 77 procent gestegen ten opzichte van het jaar daarvoor. Zorgwekkender is echter dat het aantal bedrijven dat méérdere keren wordt getroffen, met maar liefst 127 procent is toegenomen ten opzichte van 2022. De onderzoekers leggen deze cijfers naast die van 2020, waardoor de stijging in vergelijking met de meest recente cijfers zelfs 1.533 procent is. Uit voorlopige cijfers van dit jaar blijkt dat de trend zich nog steeds voortzet.
Patronen van re-victimization
Volgens het rapport van Orange Cyberdefense zijn er drie patronen te onderscheiden die leiden tot re-victimization. Allereerst vinden herhaalde aanvallen plaats door dezelfde dreigingsactor, daarnaast delen criminelen gegevens van slachtoffers herhaaldelijk op leaksites, soms met jaren ertussen.
Tenslotte verkopen hackers data op dark web-marktplaatsen, wat leidt tot nieuwe aanvallen. Wanneer bedrijven in een eerdere fase geen adequate maatregelen hebben getroffen, maken ze zich dus kwetsbaar voor nieuwe aanvallen langs dezelfde ‘attack vectors’. Daar kan een hele poos overheen gaan.
Tip: Er is geen OT-apocalyps, maar OT-security verdient wel meer aandacht
De rol van affiliates
Een belangrijke rol in re-victimization is weggeleged voor ‘affiliates’ – cybercriminelen die samenwerken met meerdere malafide partijen. Matthijs van der Wel-ter Weel, strategisch adviseur bij Orange Cyberdefense Nederland, legt uit dat affiliates toegang tot systemen tijdens een eerdere aanval kunnen verkopen of delen met andere groepen. Deze groepen voeren vervolgens hun eigen aanvallen uit, vaak met groot succes door het hergebruik van eerder verkregen informatie.
Van der Wel-ter Weel: “Dit hergebruik van gegevens leidt tot een verhoogde kans op herhaalde aanvallen, omdat verschillende groepen steeds opnieuw dezelfde kwetsbaarheden exploiteren.”
Om te voorkomen dat bedrijven meerdere keren slachtoffer worden van aanvallen op basis van dezelfde kwetsbaarheden of lekken uit het verleden, geeft Orange Cyberdefense onder andere het advies om na een aanvankelijke aanval een grondige forensische analyse uit te voeren om kwetsbaarheden te identificeren en te verhelpen. Ook pleiten ze voor het implementeren van inbraakdetectie- en preventiesystemen (IDS/IPS) om verdachte activiteiten al bij voorbaat te detecteren en te blokkeren.
Geregelde controle en niet te snel betalen
Verder is het raadzaam om geregeld pentests uit te voeren om kwetsbaarheden te ontdekken en die te vervolgens te verhelpen. Op het gebied van toegang zouden bedrijven strikt moeten toezien op het instellen en naleven van rechten om ongeautoriseerde toegang tot netwerken te voorkomen. Verder is het advies gebruik te maken van de diensten van externe securityprofessionals (Managed Detection & Response ofwel MDR) voor voortdurende monitoring en directe interventie bij incidenten.
Tenslotte adviseert Orange Cyberdefense om niet te snel losgeld te betalen, zelfs als verzekeraars dit dekken. Dit kan voorkomen dat cybercriminelen een bedrijf als ‘makkelijke prooi’ gaan zien die toch wel de portemonee trekt. Een recent high-profile voorbeeld van een bedrijf dat weigerde te betalen, was de Belgische brouwerij Duvel-Moortgat. De gegevens kregen ze er niet mee terug, maar de criminelen werden er ook niet rijker van, althans niet dankzij losgeld.
Het volledige rapport van Orange Cyberdefense is hier te downloaden.