Niemand weet wat ‘The Next Big Thing’ in het dreigingslandschap wordt. Wat wel mogelijk is, is terugkijken naar 2023, opvallende gedragingen van actoren identificeren en een gefundeerde inschatting maken van wat 2024 mogelijk in petto heeft. Met grondige kennis van een jaar vol dreigingsactoren activiteiten, gebaseerd op miljoenen dagelijkse dreigingen verspreid via e-mails, is het mogelijk om te voorspellen wat het komende jaar beïnvloedt.
1. Quick Response (QR) codes blijven groeien
Vorig jaar was hét jaar van de QR-codes. En hoewel ze niet nieuw zijn, kwamen QR-codes het afgelopen jaar in opmars. Ook werden ze gebruikt in veel phishing- en malwarecampagnes. Dit heeft verschillende oorzaken, maar uiteindelijk komt het erop neer dat men inmiddels gewend is om QR-codes te scannen voor van alles en nog wat, van instructies tot menukaarten. Dreigingsactoren profiteren hiervan.
Alexis Dorais-Joncas, Threat Research Expert bij Proofpoint, onderstreept dat QR-codes nog steeds alleen bestaan op het gebied van cybercrime. Advanced Persistent Threat (APT) actoren gebruiken de codes nog niet, maar het is goed mogelijk dat zij ook gaan starten met
QR-code phishing.
2. Uitbuiting van Zero-Day- en N-day-kwetsbaarheden
Het creatief gebruik van kwetsbaarheden, zowel bekende als niet-gerapporteerde, in de activiteiten van dreigingsactoren was in 2023 een veelvoorkomend thema. APT-actoren maakten gebruik van veel verschillende exploits. Van
TA473, die gebruikmaakte van openbaar toegankelijke web-e-mailservers, tot spionage-actoren die Zero-day gebruikten in een
e-mail security gateway waardoor ze gebruikers dwongen fysieke hardware af te breken en opnieuw te installeren. Maar actoren uit de e-crime-industrie gebruikten ook een deel van de kwetsbaarheden, zoals de
MOVEit bestandsoverdracht kwetsbaarheidsservice die in de lente van 2023 desastreuse gevolgen had. En de
ScrenConnect-fout, die in de herfst van vorig jaar werd aangekondigd. Actoren gebruikten beide methoden voordat ze officieel gepubliceerd waren.
De verwachting is dat het exploiteren van kwetsbaarheden doorgaat. Dit wordt deels gedreven door verbeterde verdediging, waardoor traditionele technieken zoals documenten met macro’s, minder bruikbaar worden. Ook de enorme financiële middelen die cybercriminelen tegenwoordig ter beschikking hebben en die ooit alleen het domein van APT waren, spelen een rol. Randy Pargman, Threat Research Expert bij Proofpoint: “De creativiteit van cybercriminelen is een directe reactie van verdedigers die kosten opleggen aan onze tegenstanders.”
3. Voortdurende, onverwachte gedragsveranderingen
Het cybercrimelandschap is extreem chaotisch, waarbij TA577 de meest ongeregelde van allemaal is. De tactieken, technieken en procedures (TTP’s) van sommige van de meest geraffineerde actoren, blijven veranderen. De kosten die worden opgelegd aan de dreigingsactoren, van wethandhaving die massale botnets zoals Qbot onschadelijk maakt, tot verbeterde detectie en geautomatiseerde verdedigingen, dwingen cybercriminelen om hun gedrag regelmatig aan te passen om erachter te komen wat het meest effectief is.
De onderzoekers van Proofpoint namen onlangs het toegenomen gebruik van verkeersdistributiesystemen (traffic distribution systems, TDSes) waar. Enkele voorbeelden hiervan zijn 404TDS en Keitaro TDS, een unieke en niet vaak waargenomen bestandvorm zoals URL-snelkoppelingen (.url) en schaalbare vector graphics (.svg). Ook zagen zij meerdere nieuwe malwareladers, programma’s die informatie stelen en oude malware zoals DArkGate die opduikt als populaire payload. Dreigingsactoren in cybercrime veranderen hun gedrag als directe reactie op wat verdedigers doen. De verwachting is dat er in 2024 veel meer TTP-experimenten plaatsvinden.
4. Artificial Intelligence (AI)
Net zoals bedrijven nu onderzoeken hoe zij AI in hun workflows kunnen integreren, onderzoeken dreigingsactoren manieren om deze technologie in te zetten in hun tactieken. Hoewel er veel bezorgdheid is over de door AI-ontwikkelde phishing e-mails en content in het algemeen, is de impact van dergelijke dreigingsactoren te verwaarlozen. Dezelfde tools die schadelijk taalgebruik, sentiment, toon, onderwerp etc. detecteren, zijn net zo effectief tegen robots als tegen mensen. Wat wel invloed heeft, is het gebruik van AI-tools ter verbetering van de algehele efficiëntie. Denk aan het opschalen van informatiebewerkingen of fraude die begint met een goedaardig gesprek. He gebruik van codeerassistenten om kennis aan te vullen, of het sneller creëren van schadelijke inhoud.
5. Delen in de community betekent gezamenlijke verdediging
Terwijl het dreigingslandschap continu verandert en exploits en technieken opduiken, blijft de cybersecurity community collectief kennis delen en zich verdedigen tegen cybercriminelen. De verwachting voor 2024 is, dat deze gemeenschapsmentaliteit belangrijker wordt dan ooit.