3 min Security

Cybercrime grijpt steeds vaker naar as-a-Service-tools

Cybercrime grijpt steeds vaker naar as-a-Service-tools

Kant-en-klare malware, cryptominers en botnets zijn allemaal door criminelen in te kopen. Er is inmiddels een breed assortiment aan As-a-Service-tools beschikbaar op de darkweb om illegale activiteiten te vereenvoudigen. Dat wil echter niet zeggen dat aanvallers laagdrempeliger opereren, want ze omzeilen gewone securitymaatregelen steeds vaker.

Uit het 2023 End of Year Threat Report van Darktrace blijkt dat Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS) domineren. Het bedrijf merkt op dat criminelen met beperkte expertise hier veelal mee uit de voeten kunnen. Veelal betreft het al geïnstalleerde malware-loaders (77 procent), cryptominers (52 procent), botnets (39 procent) en infostealers (36 procent). Ook komen proxybotnets (15 procent) regelmatig voor, waarbij aanvallers zichzelf kunnen verhullen door het gebruik van proxy’s.

De Hive-ransomwaregroep stond lang bekend als een leidende RaaS-speler, maar in januari 2023 slaagden Amerikaanse autoriteiten erin om deze te ontmantelen. Inmiddels spreekt Darktrace over een wisseling van de wacht. ScamClub en AsyncRAT hebben het marktaandeel van Hive grotendeels overgenomen. Eerstgenoemde staat bekend als een malvertising actor, met onder meer het misleiden van nieuwssites door middel van valse viruswaarschuwingen als beruchte daad. AsyncRAT richt zich zoals vele andere criminele organisaties op de kritieke infrastructuur in de VS, waarbij men via medewerkers probeert binnen te komen.

Vermarkting van cybercrime

Het onderzoek van Darktrace laat ontwikkelingen zien die veel concrete voorbeelden kent. De toeleveringsketen van cybercrime is complexer geworden, met tussenpersonen en geprofessionaliseerde diensten. Zo maakte het vorig jaar opgedoekte Genesis Market, een darkweb-marktplaats voor gestolen digitale identiteiten, gebruik van een klantenservice. Ook profileert ransomwaregroep LockBit 3.0 zich als een onorthodoxe dienstverlener die organisaties ‘bijstaat’ om (ongewild) tegen een prijs een netwerk binnen te dringen.

“Gedurende 2023 hebben we een aanzienlijke ontwikkeling en evolutie van malware- en ransomware-bedreigingen waargenomen, evenals veranderende tactieken en technieken van aanvallers als gevolg van innovatie in de technologie-industrie als geheel, waaronder de opkomst van generatieve AI. Tegen deze achtergrond zijn de breedte, reikwijdte, en de complexiteit van de bedreigingen waarmee organisaties worden geconfronteerd aanzienlijk toegenomen”, stelt Hanah Darley, Director of Threat Research bij Darktrace. “Securityteams worden geconfronteerd met een zware strijd om aanvallers voor te blijven, en hebben een security stack nodig die hen op de hoogte houdt van nieuwe aanvallen en niet een die dreigementen van gisteren najaagt.”

Bekende attack vectors, complexere payloads

Attack vectors blijven in veel gevallen traditioneel. Darktrace detecteerde bijvoorbeeld 10,4 miljoen phishing-emails tussen 1 september en 31 december. Echter blijft ook deze vorm van misleiding zich verder ontwikkelen. Zo komt Teams-phishing steeds vaker voor. waarbij Darktrace bij een specifiek incident een aanvaller opspoorde die gebruikers via een SharePoint-link DarkGate-malware probeerde te laten installeren.

Daarnaast zijn payloads steeds complexer. Darktrace omschrijft veel nieuwe dreigingen als “Zwitserse zakmessen”: als de ene aanvalspoging niet lukt, slaagt de malware wellicht elders. Men haalt het voorbeeld aan van de Black Basta-ransomwaregroep, die ook Qakbot verspreidt.

Lees ook: Qakbot-malware keert terug met phishing-aanval op horeca