De grenzen tussen landen/nationale staten en cybercriminelen vervagen, waarbij dreigingsactoren die door staten worden gesteund steeds vaker criminele tactieken toepassen om hun politieke doelen te bereiken. Daarvoor waarschuwt CyberCube, specialist op het gebied van cyber modelling and threat intelligence.
Volgens het laatste Threat Intelligence Report van CyberCube hebben door de staat gesteunde groeperingen het afgelopen jaar ransomware gebruikt om chaos en ontwrichting te veroorzaken, terwijl ze hun beweegredenen verborgen hielden. Door hun operaties te maskeren als criminele activiteiten, creëren landen ‘plausibele ontkenning’ en maken ze het moeilijker om aanvallen toe te schrijven aan individuele landen of door de staat gesteunde groepen, aldus het rapport.
Landen als Rusland, China en Iran zijn overgestapt van het sponsoren of ondersteunen van cybercriminelen naar het kopiëren van hun tactieken, volgens William Altman, cyber threat intelligence principal bij CyberCube in New York. “Vandaag de dag zien we dat actoren uit nationale staten zelf de criminele tactieken overnemen, hun tactieken, technieken, procedures en hun code. Dit is in een poging van deze statelijke actoren om hun beweegredenen als financieel te verbergen, zodat ze bijvoorbeeld niet artikel 5 van de NAVO activeren of een oorlog beginnen. Ze kunnen het op een plausibele manier ontkennen en zeggen dat het criminele activiteiten waren. We weten ook dat ransomware een zeer effectief middel is om een netwerk te verstoren en zelfs te vernietigen.”
Iraanse door de staat gesponsorde actoren treden bijvoorbeeld steeds vaker op als tussenpersonen voor cybercriminelen, waarschuwt CyberCube. Deze staatsactoren breken in op netwerken en voeren spionage uit, voordat ze de toegang overdragen aan een criminele bende en hen toestaan de slachtoffers af te persen of hun netwerk te verstoren, legt Altman uit.“Rusland geeft cybercriminelen en hacktivistische organisaties vrij spel om buiten Rusland overal ‘vernielingen aan te richten. Staatsactoren uit China vermommen zich steeds vaker als criminelen en gebruiken criminele ransomware-code om hun sporen uit te wissen.”
Buitenlandse machten gebruiken cyberaanvallen om hun politieke doelen te bevorderen, legt CyberCube uit. China infiltreert bijvoorbeeld in kritieke infrastructuurnetwerken in de VS en positioneert zichzelf daar om verstoringen te veroorzaken en chaos te zaaien als er een toekomstig conflict over Taiwan uitbreekt.Vooral energiebedrijven blijken een aantrekkelijk doelwit. Amerikaanse en Europese energie- en waterbedrijven zijn dit jaar het slachtoffer geworden van een aantal ransomware-aanvallen. Zo was er de aanval in januari op het in Iowa gevestigde Muscatine Power and Water en de ransomware-aanval in november op het Franse energiebedrijf Schneider Electric, het derde incident in 18 maanden.
Sinds de oorlog in Oekraïne worden Europese en Britse energie- en nutsbedrijven bijna constant aangevallen door Russische cybergroepen. In mei 2023 werd de Deense energie-infrastructuur gecompromitteerd door twee gelijktijdige golven van cyberaanvallen uitgevoerd door Russische en Noord-Koreaanse staatsgroepen die samenwerkten.Ondanks hun aantrekkingskracht op natiestaten scoort 36% van de energie- en nutsbedrijven die CyberCube heeft geanalyseerd onder het gemiddelde op het gebied van cyberbeveiliging.
“Dit zijn zeer kwetsbare entiteiten die zeer waarschijnlijk worden aangevallen. Ze bevinden zich in het vizier van veel bedreigingsactoren en ze zouden verdedigingsmechanismen moeten hebben die rekening houden met die blootstelling. We zien dat sommige dat wel doen en andere niet… Deze sector is niet homogeen op het gebied van beveiliging, ondanks het feit dat het een van de meest gereguleerde sectoren ter wereld is, dus het betekent dat het voor verzekeraars essentieel is om deze sector op maat te benaderen om het goed te doen,” aldus Altman.
Zelfs de best beveiligde energie- en nutsbedrijven zijn kwetsbaar voor catastrofale cybergebeurtenissen. Deze bedrijven zijn met name blootgesteld aan sectorbrede, single-point-of-failure technologieën. “Uit analyse van CyberCube bleek dat een groot deel van de energie- en nutsbedrijven vertrouwt op het besturingssysteem Windows 10, waardoor ze kwetsbaar zijn voor een wijdverspreide ransomware- of kwaadaardige malware-aanval. De sector is ook afhankelijk van single-points-of-failure technologie die IT en operationele technologie met elkaar verbindt, zoals IBM Maximo”, stelt Altman.
“Het is duidelijk dat de afhankelijkheid van gemeenschappelijke technologie deze organisaties in deze sector blootstelt aan een aanzienlijk risico op cyberaggregatierisico’s. We zien ook enig risico rond cloudinfrastructuur. We zien ook enig risico rond uitval van cloud-infrastructuur die deze entiteiten treft.” .
Landen richten zich ook op organisaties in de publieke sector en lokale overheden met ransomware-aanvallen. Tussen 2018 en december 2023 werden 423 individuele ransomware-aanvallen uitgevoerd tegen Amerikaanse overheidsorganisaties, waardoor mogelijk meer dan 250 miljoen mensen werden getroffen en de uitvaltijd naar schatting 860 miljoen dollar bedroeg, volgens cyberbeveiligingsonderzoeker Comparitech. Ondanks een bovengemiddelde blootstelling, blijkt uit gegevens van CyberCube dat 86% van de overheidsinstellingen een benedengemiddelde beveiligingsbeoordeling heeft.
“Dergelijke aanvallen zijn politiek gemotiveerd, omdat organisaties in de publieke sector meestal niet over de middelen beschikken om losgeld te betalen, of het misschien verboden is om dat te doen, legt Altman uit. Het stelt natiestaten in staat om problemen te veroorzaken met plausibele ontkenning. Dus waarom zou je het doen? Het gaat om geopolitieke motivatie. Een land één voor één destabiliseren, het vertrouwen van mensen in de lokale overheid verstoren, en via die lokale overheidsinstantie die hun dagelijks leven raakt, kunnen ze hun onzekerheid, angst en twijfel echt extrapoleren naar het hele land als geheel”, besluit Altman.