Wat is er de afgelopen 5 jaar veranderd in cybercrime?
Trend Micro profileert underground cybercrime communities al jaren, en in de laatste vijf jaar zien we een enorme verplaatsing naar nieuwe platforms.
De cybercrime-economie is het succesverhaal van de 21ste eeuw – tenminste voor diegenen die erbij betrokken waren. Deze zou naar schatting jaarlijks zo’n 1 triljard dollar waard zijn. Dat is meer dan het BBP van veel landen. Een deel van dat succes valt te wijten aan het vermogen snel te kunnen ontwikkelen en verschuiven naarmate het threat-landschap verandert. Trend Micro profileert underground cybercrime communities al jaren, en in de laatste vijf jaar zien we een enorme verplaatsing naar nieuwe platforms, communicatiekanalen, producten en services doordat het vertrouwen op het darkweb afneemt en nieuwe vraag ontstaat.
Daarnaast verwachten we dat de huidige pandemie een nieuwe evolutie teweeg zal brengen. We zien dat cybercriminelen actief op zoek zijn naar manieren om te profiteren van ‘het nieuwe werken’ en systematische kwetsbaarheden.
Verschuivingen in de underground
Ons meest recente rapport, Shifts in Cybercriminal Underground Markets, brengt de fascinerende ontwikkeling van cybercrime in de laatste vijf jaar in kaart met gedetailleerde analyses van fora, marktplaatsen en darkweb-sites over de hele wereld. Het laat onder andere zien dat in veel productcategorieën de kosten van verschillende items daalden naarmate zij gecommercialiseerd werden: waar je in 2015 nog 1.000 dollar per maand moest betalen voor cypting-services, kost dat tegenwoordig nog maar zo’n 20 dollar.
In andere categorieën, zoals IoT botnets, cyber-propaganda en gestolen gaming account credentials liggen de prijzen een stuk hoger, omdat nieuwe producten vaak zorgen voor een piek in vraag. Zo kunnen Fortnite-logins bijvoorbeeld verkocht worden voor 1.000 dollar.
Het goede nieuws is dat politieacties lijken te werken. Trend Micro werkt al lang samen met Interpol, Europol, nationale crime-instanties en lokale politie om ondersteuning te bieden bij onderzoeken. Het is daarom goed om te zien dat deze acties een positieve impact hebben. Veel darkweb-fora en marktplaatsen zijn de laatste vijf jaar geïnfiltreerd en offline gehaald.
Cybercriminelen worden daarnaast gedwongen extreme maatregelen te nemen nu het vertrouwen binnen de community verder afneemt. Bijvoorbeeld door gaming-service Discord te gebruiken voor handel of e-commerce-platform Shoppy.gg om items te verkopen. Er is zelfs een geheel nieuwe site gecreëerd, DarkNet Trust, voor deze specifieke uitdaging: het doel is daarbij om de reputatie van cybercrime vendors te verifiëren door hun gebruikersnamen en PGP-fingerprints te analyseren.
Hoe gaat de toekomst eruit zien?
Het blijft zelden stil in de cybercrime underground. In de toekomst verwachten we dat een reeks nieuwe tools en technieken darkweb winkels en fora zal overspoelen waarbij met name AI in de spotlight zal staan. Naast dat AI door Trend Micro en andere organisaties wordt gebruikt om fraude, ingewikkelde malware en phishing te bestrijden, kan het ook worden ingezet in bots die ontworpen zijn dobbel-patronen op goksites te voorspellen. Daarnaast kan het ook ingezet worden in deepfake-services die zijn ontwikkeld om kopers te helpen foto ID-systemen te omzeilen, of om sextortion-campagnes te lanceren.
Andere opkomende trends zijn minder hi-tech, maar zeker niet minder schadelijk. Log-ins voor wearables kunnen worden gestolen en gebruikt om vervangende apparaten aan te vragen onder de garantievoorwaarden. In feite is toegang tot apparaten, systemen en accounts tegenwoordig zo veel voorkomend dat we dit al terug zien in “as-a-service” cybercrime-aanbiedingen. Zo kan de prijs voor toegang tot een Fortune 500 company oplopen tot wel 10.000 dollar.
Post-pandemic bedreigingen
Dan is er nog COVID-19. We zien al fraudeurs die geld willen verdienen met fake applicaties die door de overheid zouden zijn geïnitieerd, waarbij soms phishing informatie van legitieme bedrijven gebruikt wordt. Daarnaast zijn gezondheidsorganisaties regelmatig doelwit van ransomware terwijl ze levens proberen te redden.
Zelfs nu de pandemie langzaam ingedamd wordt, zal het werken op afstand in veel organisaties blijven bestaan. Wat betekent dit voor cybercrime? Het betekent dat cybercriminelen zich meer zullen richten op VPN-kwetsbaarheden met malware en DDoS-services. Het betekent ook meer kansen om corporate netwerken te compromitteren via het thuisnetwerk. Zie het als een soort omgekeerd BYOD-scenario – in plaats van dat je apparaten meeneemt naar het werk waarmee je verbinding maakt met het netwerk, voegt het corporate netwerk zich nu samen met het thuisnetwerk.
Het aanpakken van dergelijke uitdagingen vereist een multi-gelaagde strategie met een bekend trio: people, process en technology. Het vereist meer training, betere security voor thuiswerkers, verbeterd patch management en optimale wachtwoord-security. Maar bovenal vereist het continu inzicht in cybercriminelen en de platformen waar zij zich op bevinden, om zo te kunnen voorzien waar de volgende grote bedreigingen vandaan komen.
Gelukkig is er het deskundige team van Trend Micro researchers. We zullen ze niet uit het oog verliezen.