Proofpoint volgt een cluster van cybercriminele activiteiten die zich richt op transport- en logistieke bedrijven. Het cluster infecteert bedrijven in deze sector met Remote Monitoring and Management (RMM)-tools voor financieel gewin. In de geobserveerde campagnes proberen cybercriminelen bedrijven te infiltreren en hun frauduleuze toegang te gebruiken om te bieden op echte ladingen goederen om deze vervolgens te stelen. De waargenomen campagnes in dit rapport zijn vergelijkbaar met activiteiten die onderzoekers van het cybersecuritybedrijf eerder in september 2024 onderzochten.
Oude misdaden, nieuwe tools: de digitale transformatie van vrachtdiefstal
Volgens het National Insurance Crime Bureau leidt vrachtdiefstal jaarlijks tot een verlies van 34 miljard dollar. Vrachtdiefstal kan verwijzen naar veel verschillende soorten activiteiten die leiden tot diefstal van commerciële vrachten terwijl deze onderweg zijn. Volgens de Amerikaanse wetshandhavingsinstanties wordt een groot deel van deze activiteiten uitgevoerd door georganiseerde criminele groepen. Het Amerikaans Congres heeft wetgeving ingevoerd om georganiseerde retaildiefstal te bevechten, gezien deze sinds de COVID-19-pandemie explosief is toegenomen.
Hoewel de campagnes die Proofpoint in dit onderzoek bespreekt, betrekking hebben op vrachtdiefstal in Noord-Amerika, is het een wereldwijd probleem. Volgens Munich RE zijn Brazilië, Mexico, India, de Verenigde Staten, Duitsland, Chili en Zuid-Afrika wereldwijde hotspots voor vrachtdiefstal. De meest gestolen goederen zijn voedingsmiddelen en dranken.
Cyberdiefstal is een van de meest voorkomende vormen van vrachtdiefstal en is gebaseerd op social engineering en kennis van de werking van de vrachtwagen- en transportsector. De aanvalsketen in de geobserveerde campagnes die tot pogingen van vrachtdiefstal leiden, verlopen als volgt:
- De dreigingsactor compromitteert een broker load board (een marktplaats die bedrijven gebruiken om het boeken van ladingen voor vrachtwagens te regelen);
- Een nepvracht plaatsen;
- De aanvalsketen starten wanneer een vervoerder reageert.
Hieronder zijn de belangrijkste bevindingen van dit onderzoek:
- Cybercriminelen brengen transport- en vrachtbedrijven in gevaar met uitgebreide aanvalsketens om vracht te stelen.
- Vrachtdiefstal is een criminele onderneming waar miljoenen in omgang gaan. Digitale transformatie heeft geleid tot een toename van cyberdiefstal.
- Dreigingsactoren compromitteren deze bedrijven en gebruiken hun toegang om te bieden op vrachttransporten om deze vervolgens te stelen.
- Dreigingsactoren leveren normaal gesproken RMM-tools, wat in lijn is met de bredere trend waarbij cybercriminelen deze tools gebruiken als een first-stage payload in het dreigingslandschap.
Volgens het NICB zijn de verliezen door vrachtdiefstal in 2024 met 27 procent gestegen en zullen de verliezen in 2025 naar verwachting met nog eens 22 procent toenemen. Vrachtdiefstal is een winstgevende criminele activiteit. Op basis van gegevens van Proofpoint richten cybercriminelen zich steeds vaker op bedrijven in het wegtransport om echte, fysieke goederen te stelen. Proofpoint heeft sinds augustus 2025 meer dan 20 campagnes waargenomen die zich op dergelijke bedrijven richten om RMM’s te leveren. Uit openbare discussies en rapporten over cybergerelateerde vrachtdiefstal blijkt dat dit een grootschalig probleem is. Het heeft impact op veel organisaties en het neemt in omvang en verspreiding toe. Op basis van de groei van deze activiteit in e-maildreigingsdata tussen 2024 en 2025, schat Proofpoint dat deze dreiging zal blijven toenemen.
Organisaties kunnen zich beschermen tegen RMM-misbruik door:
- Het downloaden en installeren van RMM-tools die niet zijn goedgekeurd en bevestigd door de IT-beheerders van een organisatie te beperken.
- Zorgen voor netwerkdetectie, inclusief het gebruik van de Emerging Threats-regelset, en gebruik endpointsecurity. Dit kan waarschuwingen afgeven bij elke netwerkactiviteit naar RMM-servers.
- Download en installeer geen uitvoerbare bestanden (.exe of .msi) die via e-mail van externe afzenders zijn verzonden.
- Train gebruikers om verdachte activiteiten te herkennen en te melden aan hun securityteams. Deze training kan eenvoudig worden geïntegreerd in een bestaand trainingsprogramma voor gebruikers.
Organisaties moeten bewust zijn van cybertactieken en payloads die door criminelen worden gebruikt bij vrachtdiefstal. Ook moeten zij cybersecuritymaatregelen nemen om succesvol misbruik te voorkomen.
Klik
hier voor het volledige onderzoek.