Den Haag, 20 december 2023 - Het eind van het jaar is traditioneel een tijd van reflectie en vooruit kijken. Het afgelopen jaar kan met recht het jaar van artificial intelligence (AI) genoemd worden, met de opkomst van generatieve AI zoals ChatGPT. Daarnaast zagen we het afgelopen jaar al de eerste AI-gebaseerde aanvallen uitgevoerd door cybercriminelen in de vorm van novel social engineering aanvallen. Een aantal
Darktrace executives deelt nu hun voorspellingen voor volgend jaar, wat wederom een jaar lijkt te worden waarin enorme stappen genomen zullen worden op AI-gebied.
- Max Heinemeyer, Chief Product Officer: Al zal verder worden geadopteerd door cybercriminelen; we zouden de eerste AI-worm kunnen zien
2023 is het jaar waarin aanvallers WormGPT en FraudGPT hebben getest en grootschalig AI in hun aanvalsmethoden hebben toegepast. In 2024 gaan we zien hoe meer geavanceerde APT’s, zoals nation-state aanvallers en geavanceerde ransomware-bendes AI zullen adopteren. Het gevolg is dat aanvallen mogelijk nog sneller, schaalbaarder, gepersonaliseerder en gecontextualiseerder worden. Het zou ook het jaar kunnen zijn waarin aanvallers traditionele worm-ransomware - zoals WannaCry of notPetya - combineren met meer geavanceerde, AI-gestuurde automatisering om een agressieve, autonome agent te creëren die over geavanceerde, contextgebaseerde besluitvormingsmogelijkheden beschikt.
- Oakley Cox, Analist Technical Director: Met generatieve AI hebben aanvallers geen last meer van taalbarrières in phishing-e-mails
Al decennialang wordt het merendeel van cyber-enabled social engineering, zoals phishing, in het Engels uitgevoerd. Over het algemeen vonden cybercriminelen het niet de moeite waard om lokale talen te gebruiken. Dat maakte niet-Engels sprekende landen een minder groot doelwit. Met de introductie van generatieve AI is de toegangsdrempel voor het schrijven van tekst in andere talen echter drastisch verlaagd. Darktrace heeft de toegenomen complexiteit van het gebruik van de Engelse taal bij phishing-aanvallen al waargenomen. In 2024 kunnen we van aanvallers verwachten dat ze nieuwe taalmogelijkheden toepassen die voorheen als complex werden beschouwd. Bovendien zullen phishing-e-mails in vreemde talen cybercriminelen waarschijnlijk meer geld opleveren. Het is namelijk onwaarschijnlijk dat e-mailbeveiligingsoplossingen die zijn getraind met Engelstalige mails aanvallen in de lokale taal zullen detecteren. Deze e-mails zullen dus terechtkomen in de inbox van medewerkers die niet gewend zijn om social engineering-pogingen in hun moedertaal te ontvangen. Bovendien zullen phishing-e-mails in vreemde talen cybercriminelen waarschijnlijk meer geld opleveren, omdat dit hun pool van potentiële doelwitten vergroot.
- David Mata, Global Head of Incident Management: Aanvallers zullen insiders betalen om dreigingen te worden
Een interessante trend in opkomst is door insiders ondersteunde aanvallen. Insider threats zijn niet nieuw, maar worden vaak vergeten. Van oudsher hebben we insiders data zien stelen en lekken vanaf hun werkplek. Een nieuwe ontwikkeling die we het afgelopen jaar zagen, is dat een cyberactor een intern personeelslid betaalt voor zijn inloggegevens om een cyberaanval op het netwerk uit te voeren. We kennen minstens één bedrijf dat te maken kreeg met een beveiligingsincident van binnenuit dat leidde tot een ransomware-aanval. Het personeelslid had zijn inloggegevens tegen betaling afgegeven. In 2024 zullen we een toename zien van dit soort door mensen gestarte insider-aanvallen.
- Liam Dermody, Director of Red Team: MFA-bypass-aanvallen zullen toenemen
Multifactor authenticatie (MFA) is enorm succesvol geweest in het voorkomen van bruteforce-aanvallen en het hergebruiken van gestolen wachtwoorden. Door zijn effectiviteit is MFA een voorwaarde geworden in veel beveiligingsframeworks. Dit heeft er echter ook voor gezorgd dat aanvallers zich hieraan hebben aangepast. Cybercriminelen hebben manieren gevonden om MFA te omzeilen, waaronder het verzenden van talloze MFA-pushmeldingen totdat een slachtoffer op ‘accepteren’ klikt of het gebruik van gedetailleerd OSINT-onderzoek naar een doelwit om een SIM-swap mogelijk te maken, waardoor de aanvaller de telefoon van het slachtoffer kan nabootsen. In 2024 zal deze trend zich alleen maar voortzetten. We moeten MFA niet meer beschouwen als een wondermiddel, maar alert zijn op ongewone activiteiten die tijdens en na authenticatie kunnen plaatsvinden.
- Hanah Darley, Director of Threat Search: Toename van gefaseerde aanvallen naarmate Malware-as-a-Service zich verspreidt
Met de toename van ‘as-a-Service’-marktplaatsen is het waarschijnlijk dat organisaties in 2024 te maken zullen krijgen met meer gefaseerde aanvallen, waarbij één soort malware informatie steelt, deze wordt verkocht aan andere dreigingsactoren en vervolgens gebruikt wordt voor malware of ransomware in een tweede en/of derde fase. Deze trend bouwt voort op het concept van initiële access brokers, maar maakt gebruik van eenvoudige browser scraping en dataverzameling om tijdens de aanval zoveel mogelijk winst te maken. Beveiligingsteams zullen steeds vaker meerdere kwaadaardige tools en vormen van malware observeren tijdens hun reactie op incidenten - waarbij aanvalscycli en kill-ketens veranderen in minder lineaire en meer abstracte activiteitenketens - waardoor het belangrijker wordt dan ooit om een anomaliebenadering toe te passen om asymmetrische dreigingen voor te blijven.
- Hanah Darley, Director of Threat Research: AI-regulering en dataprivacyregels zullen de adoptie van AI afremmen
In Europa zullen zowel groeiende zorgen rond AI-regelgeving als problemen met dataprivacy de adoptie in AI in 2024 in alle sectoren belemmeren. Dit zal vooral het geval zijn voor meer traditionele tools die afhankelijk zijn van klantdata die worden opgeslagen en gebruikt voor modeltraining. De toenemende bezorgdheid over dataprivacy in combinatie met strengere normen die worden toegepast op de ontwikkeling van AI zal waarschijnlijk veel Europese organisaties ervan weerhouden om interne AI te ontwikkelen of AI-systemen van derden te gebruiken. De discussie rond de invloed van AI op privacybescherming rond data die van klanten zijn opgeslagen, is niet nieuw. Problemen rond datavergiftiging en supply chain-risico’s zullen de acceptatie van AI echter alleen maar verder afremmen.
- Nicole Carignan, VP Strategic Cyber AI: Autonome agents zullen aanvallers en verdedigers versterken
Tegenstanders gaan hun inspanningen in 2024 richten op het verbeteren en optimaliseren van autonome agents (bijvoorbeeld AutoGPT) om on-demand aanvallen uit te breiden. Naarmate autonome agents geavanceerder worden, zullen ze hun besluitvorming over de beste volgende stap om een aanval vooruit te helpen beter kunnen sturen. Momenteel hebben autonome agents een beperkte capaciteit om complexe beslissingen te nemen, maar naarmate tegenstanders bestaande agents trainen en optimaliseren, zullen ze nog beter in staat zijn tot gerichte en geavanceerde acties. Tegelijkertijd zullen menselijke verdedigers ook steeds afhankelijker worden van autonome agents. Om dit vertrouwen op te bouwen, is de uitlegbaarheid en transparantie van autonome agents en hun besluitvorming cruciaal.
- Marcus Fowler, CEO of Darktrace Federal: Disruptieve ransomware-aanvallen zullen zich vaker richten op operationele technologie (OT) achter kritieke infrastructuur
Naarmate netwerk- en e-mailbeveiliging verbetert in zowel de publieke als private sector, zullen we zien dat cybercriminele groepen zich meer gaan richten op minder goed beveiligde doelwitten zoals operationele technologie (OT)-omgevingen die verbonden zijn met productie of kritieke infrastructuur. OT-beveiligingsteams worstelen met oude systemen en een groeiende IT- en OT-connectiviteit binnen hun omgeving. Ze worden hierdoor steeds vaker doelwit van aanvallers met een winstoogmerk. Ook niet-statelijke actoren zullen hier een gevaar vormen naarmate ze vaker bereid zullen zijn om kritieke infrastructuur aan te vallen. Daarnaast verhoogt het toegenomen vermogen van niet-statelijke actoren om geavanceerde aanvallen uit te voeren, gecombineerd met de toenemende kwetsbaarheid van kritieke infrastructuur naarmate IT- en OT-systemen steeds meer verbonden raken, de kans op ransomware-aanvallen enorm. Cybercriminelen weten dat dit soort organisaties het zich niet kunnen veroorloven om hun systemen ook maar een moment uit de lucht te halen. Dit betekent dat elke cyberverstoring, hoe klein ook, kan worden gebruikt om slachtoffers af te persen voor financieel gewin.