ENISA Threat Landscape 2021: aanvalstechnieken, incidenten en trends
/In de negende editie van het ENISA Threat Landscape (ETL) rapport, dat is uitgebracht door het Europees Agentschap voor cyberbeveiliging (European Union Agency for Cybersecurity, ENISA), wordt gewezen op de sterke toename van cybercriminaliteit die wordt gestimuleerd door het financieel gewin van het gebruik van ransomware of cryptojacking.
ENISA Threat Landscape 2021 (ETL) is een jaarlijks rapport waarmee het Europees Agentschap het digitale dreigingslandschap in kaart brengt. De 9e editie, die recent is uitgebracht, behelst de periode april 2020 tot en met juli 2021.
Bedreigingen voor de cyberbeveiliging nemen toe. Afgelopen jaar was ransomware de grootste bedreiging. Voor elk van de vastgestelde dreigingen worden aanvalstechnieken, opmerkelijke incidenten en trends geïdentificeerd, alsmede aanbevelingen gedaan.
Het nieuwe rapport bevat ook een lijst van trends met betrekking tot bedreigingsactoren.
Het digitale dreigingslandschap is gegroeid in termen van geavanceerdheid van de aanvallen, complexiteit en impact. De dreiging wordt gestimuleerd door een steeds grotere onlineaanwezigheid, de overgang van traditionele infrastructuren naar online oplossingen, geavanceerde interconnectiviteit en de exploitatie van nieuwe mogelijkheden van opkomende technologieën.
Het zal geen verassing zijn dat aanvallen op supply-chains hoog op de lijst van grootste bedreigingen staan, omdat zij grote potentiele catastrofale kettingreacties teweeg kunnen brengen. Het risico is zo groot dat ENISA onlangs een speciaal dreigingsbeeldrapport heeft opgesteld voor deze specifieke dreigingscategorie.
De 9 grootste dreigingen
Er zijn 9 groepen bedreigingen geïdentificeerd die afgelopen jaar duidelijk aanwezig waren:
1. Ransomware;
2. Malware;
3. Cryptojacking;
4. E-mail gerelateerde bedreigingen;
5. Bedreigingen tegen gegevens;
6. Bedreigingen voor de beschikbaarheid en integriteit;
7. Disinformation-misinformation;
8. Niet-kwaadwillige bedreigingen;
9. Supply-chain aanvallen
Belangrijke trends
De COVID-19 crisis heeft mogelijkheden gecreëerd voor diegenen die de pandemie hebben gebruikt als veelvuldig lokmiddel in campagnes voor bijvoorbeeld e-mailaanvallen. Financieel gewin lijkt de belangrijkste drijfveer voor dergelijke activiteiten te zijn. Er zijn talloze technieken die de bedreigers tot hun beschikking hebben. In de onderstaande, niet-uitputtende lijst, staan enkele van de meest voorkomende die in het verslag zijn geïdentificeerd:
· Ransomware as a Service (RaaS)-type business models;
· Multiple extortion ransomware schemes;
· Business Email Compromise (BEC);
· Phishing-as-a-service (PhaaS);
· Disinformation-as-a-Service (DaaS) business model; etc
Focus op drie bedreigingen
Ransomware
Ransomware is een soort kwaadaardige aanval waarbij de aanvallers de gegevens van een organisatie versleutelen en betaling eisen om toegang te herstellen. Ransomware kwam naar voren als voornaamste bedreiging, met diverse opvallende en sterk in de publiciteit gekomen incidenten. Het belang en de impact van de dreiging van ransomware blijkt ook uit een reeks verwante beleidsinitiatieven in de Europese Unie (EU) en wereldwijd. Phishingmails en bruteforce-aanvallen op RDP (remote desktopprotocol) -accounts zijn de voornaamste manieren waarop organisaties met ransomware besmet raken. Ook het aantal drievoudige afpersingsconstructies nam in 2021 sterk toe en cryptocurrency blijft de meest voorkomende uitbetalingsmethode voor de dreigingsactoren.
Cryptojacking-infecties
Cryptojacking (ook wel kwaadaardige cryptomining genoemd) is een vorm van cybercriminaliteit waarbij een crimineel heimelijk de rekenkracht van iemand anders apparaat gebruikt om cryptovaluta’s te genereren. Door de toename van cryptovaluta’s en de steeds grotere acceptatie ervan door het bredere publiek, is er een groei van overeenkomstige cyberbeveiligingsincidenten waargenomen. Cryptocurrency blijft de meest voorkomende uitbetalingsmethode voor bedreigingsactoren.
Mis- en desinformatie
Dit type bedreiging komt dit jaar voor het eerst voor in het ENISA Threat Landscape Report. Desinformatie- en misinformatiecampagnes nemen toe als gevolg van de toegenomen onlineaanwezigheid door de COVID-19-pandemie, die logischerwijs leidt tot overmatig gebruik van sociale-mediaplatforms en online media. Dergelijke bedreigingen zijn van cruciaal belang in de cyberwereld. Desinformatie- en misinformatiecampagnes worden gebruikt bij hybrideaanvallen om twijfel te veroorzaken of verwarring te zaaien, waardoor de algemene vertrouwensbeleving afneemt, terwijl dit juist een belangrijke factor is voor cyberbeveiliging.
Dreigingsactoren: wie zijn dat?
Actoren van cyberdreigingen zijn een belangrijk onderdeel van het dreigingslandschap. Het zijn entiteiten die schadelijke acties willen uitvoeren door middels het gebruik van bestaande kwetsbaarheden, hun slachtoffers schade toe te brengen. Inzicht in hoe dreigingsactoren denken en handelen, wat hun beweegredenen en doelen zijn, is een belangrijke stap op weg naar een krachtiger reactie op cyberincidenten. Het volgen van de laatste ontwikkelingen met betrekking tot de tactieken en technieken die de dreigingsactoren gebruiken, is van cruciaal belang voor een efficiënte verdediging in het huidige cyberbeveiligingsecosysteem. Een dergelijke dreigingsanalyse stelt ons in staat prioriteiten te stellen voor beveiligingscontroles en een adequate strategie uit te stippelen op basis van de potentiële impact en de waarschijnlijkheid dat een dreiging werkelijkheid wordt. Ten behoeve van het ETL 2021 is de aandacht gericht op vier categorieën actoren die een bedreiging vormen voor cyberbeveiliging: door de staat gesponsorde actoren, cybercriminelen, hackers-voor-huuractoren en hacktivisten.
Achtergrond
Het ETL-verslag brengt het cyberdreigingslandschap in kaart om zo besluitvormers, beleidsmakers en beveiligingsspecialisten te helpen strategieën te bepalen om burgers, organisaties en cyberspace te verdedigen.
Dit werk maakt deel uit van het jaarlijkse werkprogramma van het EU-Agentschap voor cyberbeveiliging om strategische informatie te verstrekken aan zijn belanghebbenden.
De inhoud van het verslag wordt verzameld uit open bronnen, zoals media-artikelen, adviezen van deskundigen, inlichtingenverslagen, analyses van incidenten en verslagen van beveiligingsonderzoek, en door middel van interviews met leden van de ENISA Cyber Threat Landscapes werkgroep (CTL-werkgroep).
Op basis van de verzamelde informatie stelt het Agentschap zijn eigen analyses en standpunten over het bedreigingslandschap op, die bedoeld zijn om neutraal te zijn voor de sector en de leverancier.
