De evolutie van het darkweb: Dreigingsactoren consolideren en stroomlijnen cybercriminaliteit

Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑

Een nieuw rapport van cyberdreigingsinlichtingenbedrijf Cybersixgill ziet dreigingsactoren samenkomen op digitale marktplaatsen om samen te werken en malware en inloggegevens te kopen en verkopen.

Consolidatie van cybercriminelen op versleutelde berichtenplatforms en AI-technologie verlaagt drempel en stroomlijnt ransomware-aanvallen

Volgens het nieuwe rapport van beveiligingsbedrijf Cybersixgill, 'The State of the Cybercrime Underground 2023', consolideren dreigingsactoren hun gebruik van versleutelde berichtenplatforms, initiële toegangsmakelaars en generatieve AI-modellen. Dit verlaagt de toetredingsdrempels tot cybercriminaliteit en "stroomlijnt de wapening en uitvoering van ransomware-aanvallen". De studie is gebaseerd op 10 miljoen berichten op versleutelde platforms en andere soorten gegevens afkomstig van het deep-, dark- en clear- web. Brad Liggett, directeur van threat intel in Noord-Amerika bij Cybersixgill, definieerde deze termen:

• Clearweb: elke site die toegankelijk is via een gewone browser en geen speciale versleuteling nodig heeft om toegang te krijgen (bijvoorbeeld CNN.com, ESPN.com, WhiteHouse.gov).
• Deepweb: sites die niet geïndexeerd zijn door zoekmachines of sites die afgeschermd zijn en beperkte toegang hebben.
• Darkweb: sites die alleen toegankelijk zijn met behulp van versleutelde tunnelingprotocollen zoals Tor (the onion router browser), ZeroNet en I2P.

Cybercriminelen gebruiken versleutelde berichtenplatforms om samen te werken, te communiceren en tools, gestolen gegevens en diensten te verhandelen, omdat ze geautomatiseerde functionaliteiten bieden die hen een ideaal lanceerplatform voor cyberaanvallen maken. De studie van Cybersixgill suggereert echter dat het aantal dreigingsactoren afneemt en zich concentreert op een handvol platforms.

Na een enorme toename in het gebruik van versleutelde berichtenplatforms door cybercriminelen, is er een lichte daling in het afgelopen jaar. Tussen 2019 en 2020 lieten gegevens die Cybersixgill verzamelde een enorme stijging zien in het gebruik van versleutelde berichtenplatforms, waarbij het totale aantal verzamelde items met 730% toenam. In de analyse van het bedrijf van 2020-2021 nam dit aantal toe met 338% en vervolgens slechts 23% in 2022 tot ongeveer 1,9 miljard items die werden verzameld op berichtenplatforms.

Van darkweb naar deepweb-platforms en versleutelde berichtendiensten

In de studie wordt opgemerkt dat dreigingsactoren in het verleden voornamelijk hun activiteiten op het darkweb uitvoerden, terwijl er de laatste jaren een migratie is geweest naar deep-web versleutelde berichtenplatforms. Cybercriminelen geven de voorkeur aan deepweb-platforms vanwege het relatieve gebruiksgemak in vergelijking met Tor, dat meer technische vaardigheden vereist.

"Telegram is het populairste berichten platform voor dreigingsactoren", volgens Liggett. Andere populaire platforms zijn onder meer:

• Discord, een berichtenplatform dat populair is bij gamers.
• ICQ, voor het eerst geïntroduceerd in de jaren '90 en in 2010 gekocht door een Russisch bedrijf.
• QQ, een populair communicatieplatform in China.
• Wickr, een in New York gevestigde afdeling van Amazon Web Services.
• Signal, een gratis en open-source versleutelde dienst.
• Tox, ook een FOSS (Free and Open Source Software) peer-to-peer systeem.

Bloeiende business van initiële toegangsmakelaars in de cybercriminele ondergrond

Initiële toegangsmakelaars zijn een bloeiende business Het ecosysteem van initiële toegangsmakelaars is gegroeid, samen met duistere markten zoals Genesis Market, dat in beslag is genomen en gesloten door de FBI in een internationale operatie. Deze hubs faciliteren transacties tussen IAB's (Initial Access Brokers) en dreigingsactoren die op zoek zijn naar inloggegevens, tokens, gecompromitteerde eindpunten, bedrijfslogins, web shells, cPanels of andere gestolen toegangspunten tot bedrijfsnetwerken.

De studie wees op twee brede marktcategorieën van toegang-te-koop op de cybercriminele ondergrond:

• IAB's die toegang tot bedrijfsnetwerken veilen voor honderden tot duizenden dollars.
• Groothandels toegangsmarkten die toegang verkopen tot gecompromitteerde eindpunten voor ongeveer $10. In 2021 werden meer dan 4,5 miljoen toegangsvectoren verkocht, gevolgd door 10,3 miljoen in een enkele markt in 2022, onthulde de studie.

Slechte digitale hygiëne vergroot risico op aanvallen

Slechte digitale hygiëne geeft dreigingsactoren toegang tot grotere uitbetalingen Thanos wees erop dat veel inloggegevens die op het darkweb worden verkocht, hoewel afkomstig van individuele consumentenaccounts, toegangspunten tot organisaties kunnen vormen dankzij slechte digitale hygiëne. Mensen gebruiken dezelfde inloggegevens voor bedrijven als voor persoonlijke accounts, wat toegang en zijdelingse beweging door organisaties mogelijk maakt.

Vaak wordt dit gedaan door middel van credential stuffing, waarbij combolijsten - gecombineerde tekstbestanden met gelekte gebruikersnamen en wachtwoorden die zijn verkregen uit eerdere inbreuken - worden gebruikt om accounts over te nemen op andere web- of mobiele applicaties door middel van brute force-aanvallen.

Bron: cybersixgill.com

Meer info over darkweb 

Meer darkweb nieuws