Wat zou je doen met één miljard?

Meer dan één miljard dollar betaalden we aan cybercriminelen in 2023. We weten dit bedrag te herleiden omdat de betalingen allemaal via cryptocurrency verliepen en die transacties zijn publiek te volgen. Een recordbedrag, het is zelfs een verdubbeling van het jaar ervoor. Deze trend zien we in 2024 helaas alleen maar doorstijgen.

Waarom is dit bedrag zo groot? Deels omdat er nog nooit eerder zoveel ransomwareslachtoffers waren. Als je het losgeld niet betaalt, wordt je naam (en data) op de website van de ransomwaregroep gezet. Bijna 5000 slachtoffers werden in 2023 op het darkweb gepubliceerd. Wetende dat ongeveer 40-60% van de slachtoffers betaalt, betekent dit tussen de 8000 en 12000 slachtoffers.

Een belangrijke reden waarom er zoveel slachtoffers waren, was een focus op het vinden van nieuwe kwetsbaarheden (zero-days) en het aanvallen van de supply chain. Plaats jezelf in de schoenen van de criminelen: waarom zou je de moeite doen een bedrijf aan te vallen waarmee je maar één slachtoffer maakt, terwijl je een bedrijf met een hoop klanten kunt aanvallen en je 100 slachtoffers hebt? Vooral voor de ransomwaregroep Cl0p, in Nederland goed bekend, is dit hun verdienmodel.

De bijna drie miljard dollar die in totaal naar ze is gestuurd in de afgelopen vier jaar komt hen nu goed van pas. We weten uit bronnen binnen deze groepen dat er hele teams van criminele experts worden ingehuurd om kwetsbaarheden te vinden, bedrijven te onderzoeken, en tools te ontwikkelen om aanvallen nog slimmer uit te voeren. Het is ook gewoon een standaard bedrijfsstrategie: je geld investeer je daar waar je weet dat er nog meer winst te behalen is. Wat zou je er anders mee doen? Je land kun je niet meer uitreizen, je bent crimineel.

Ook statelijke actoren richten zich op deze aanvalsvector. Nu is dat niets nieuws, maar het komt steeds meer aan het licht. Zo werd in maart 2024 een kwetsbaarheid ontdekt in een stukje software (liblzma, NX Utils) dat ervoor zorgde dat een aanvaller een code kan laten uitvoeren door SSH. Deze kwetsbaarheid was geïntroduceerd door een ontwikkelaar binnen het project die meerdere jaren reputatie had opgebouwd om deze rechten te krijgen. Er zijn zelfs analyses die erop wijzen dat er meerdere accounts samenwerkten om mensen binnen het project te beïnvloeden zodat deze aanval mogelijk werd. Nu werd deze aanval gelukkig gedetecteerd door een slimme beheerder die zag dat het proces langzamer was geworden, maar ik vraag me af hoeveel van dit soort projecten geïnfiltreerd zijn zonder dat we het doorhebben. 

Martijn Hoogesteger
Martijn is Head of Cyber bij S-RM en is bereikbaar via m.hoogesteger@s-rminform.com.

Deze column verscheen in IB4-2024.