De evolutie van cyberdreigingen: van AI aanvallen tot identiteitsdiefstal

Reading in another language

Deze podcast is AI-gegeneerd. (Engels)

Belangrijkste bevindingen uit het Cisco Talos - Year in Review 2024 rapport

In 2024 is er een alarmerende verschuiving gaande in de manier waarop cybercriminelen kunstmatige intelligentie (AI) inzetten voor aanvallen. Waar AI vroeger voornamelijk werd gebruikt als hulpmiddel voor het verbeteren van aanvallen, zoals het automatiseren van sociale engineeringcampagnes, zien we nu dat cybercriminelen AI-systemen zelf als doelwit gebruiken. De focus ligt hierbij op het manipuleren van de trainingsdata van AI-modellen om deze te ondermijnen. Door trainingsdata te vervalsen, kunnen aanvallers AI-modellen misleiden, waardoor ze foute beslissingen nemen of zelfs bedreigingen niet herkennen. Dit vormt een aanzienlijk risico, aangezien steeds meer bedrijven afhankelijk zijn van AI voor belangrijke taken zoals cybersecurity en medische diagnostiek.

Een voorbeeld van dergelijke manipulatie is het aanpassen van de invoer van een AI-systeem. Een klein, subtiel verschil in de gegevens die aan het model worden gepresenteerd, kan ervoor zorgen dat een AI-gestuurd beveiligingssysteem een dreiging niet herkent. Dit is vooral zorgwekkend voor systemen die zijn ontworpen om afwijkend gedrag te detecteren, zoals verdachte netwerkactiviteit of het identificeren van phishingaanvallen. De gevolgen van dergelijke manipulaties kunnen verstrekkend zijn: verkeerde beslissingen kunnen leiden tot financiële verliezen, het uitlekken van gevoelige gegevens of het falen van beveiligingsmaatregelen.

De impact van AI-kwetsbaarheden strekt zich verder uit naar de bredere samenleving. Cybercriminelen proberen AI-gegenereerde desinformatie in te zetten voor grootschalige misleidingscampagnes, met name door gemanipuleerde artikelen, datasets en synthetische teksten in AI-tools te injecteren. Dit ondermijnt niet alleen de effectiviteit van AI, maar verstoort ook de betrouwbaarheid van informatie die door deze systemen wordt gegenereerd. Geavanceerde desinformatiecampagnes maken het voor het publiek steeds moeilijker om authentieke informatie van valse gegevens te onderscheiden .

Identiteitsgebaseerde aanvallen domineren de dreigingslandschap

2024 was het jaar waarin identiteitsgebaseerde aanvallen de digitale dreigingen domineerden. Cybercriminelen richten zich steeds vaker op het verkrijgen van toegang via gestolen inloggegevens in plaats van het gebruik van complexe aanvalstechnieken zoals malware of zero-day-exploits. Het verkrijgen van toegang tot netwerken via gestolen inloggegevens is eenvoudiger en effectiever, omdat het moeilijker te detecteren is. Zodra aanvallers toegang hebben tot een geldige gebruikersaccount, kunnen ze zonder veel weerstand doorgaan met hun activiteiten, zoals het stelen van gegevens, het uitvoeren van verdere aanvallen of het escaleren van hun privileges.

Deze aanvallen maken gebruik van gestolen gebruikersnamen, wachtwoorden, digitale certificaten en andere identiteitsgegevens die op het darkweb te koop worden aangeboden. De trend van het kopen en verkopen van gestolen inloggegevens heeft deze aanvallen vergemakkelijkt en breidt de mogelijkheden voor cybercriminelen uit. Wat nog zorgwekkender is, is dat deze aanvallen vaak moeilijk te detecteren zijn, omdat ze zich voordoen via legitieme kanalen. Cybercriminelen kunnen zelfs toegang krijgen tot netwerken zonder dat er enige malware op de systemen wordt gedetecteerd, omdat ze simpelweg inloggen met gestolen gegevens.

De gevolgen van identiteitsgebaseerde aanvallen zijn verstrekkend. Van phishing-aanvallen tot de verkoop van gestolen gegevens zoals creditcardinformatie en persoonlijke gegevens, de impact van deze dreiging is enorm. De gebruikte technieken zijn relatief eenvoudig, maar de resultaten kunnen verwoestend zijn voor bedrijven en overheidsinstanties. Bedrijven moeten zich steeds bewuster worden van deze dreigingen en proactief hun identiteits- en toegangsbeheer versterken.

Ransomware aanvallen en de opkomst van nieuwe dreigingsactoren

Ransomware blijft een van de meest destructieve dreigingen in de cyberwereld. In 2024 werden ransomware-aanvallen op onderwijsinstellingen, vooral universiteiten, steeds vaker gerapporteerd. Universiteiten zijn vaak het doelwit van ransomware-aanvallen vanwege de waardevolle gegevens die zij bewaren, zoals onderzoeksgegevens en persoonlijke informatie van studenten. Bovendien hebben veel universiteiten grote hoeveelheden IT-infrastructuur nodig voor hun dagelijkse activiteiten, zoals online cursussen, wat hen tot een aantrekkelijk doelwit maakt voor aanvallers.

De meest voorkomende methode voor het uitvoeren van ransomware-aanvallen is het verkrijgen van toegang via gestolen inloggegevens. Cybercriminelen kiezen vaak voor deze eenvoudige en effectieve techniek in plaats van het uitbuiten van kwetsbaarheden of het inzetten van malware. Zodra ze toegang hebben tot een geldige account, kunnen ze hun aanval verder ontwikkelen door via het netwerk te bewegen, ransomware te implementeren en uiteindelijk gegevens te versleutelen om een losgeld te eisen.

De opkomst van nieuwe ransomware-groepen, zoals RansomHub, heeft de dreiging verder vergroot. Deze groep heeft zich snel gepositioneerd als een belangrijke speler in het ransomware-as-a-service (RaaS) model, waarbij affiliates van de groep bedrijven aanvallen en de ransomware als dienst aanbieden. Deze ontwikkeling wijst op de toenemende commercialisering van ransomware, waarbij de dreiging steeds complexer en moeilijker te bestrijden wordt.

Het is opmerkelijk dat ransomwaregroepen vaak gebruik maken van bestaande tools, zoals valid accounts en remote access tools (RAT's), die door de slachtofferorganisaties zelf worden ingezet voor legitieme doeleinden. Dit maakt het detecteren van een aanval veel moeilijker, aangezien de kwaadaardige activiteiten zich voordoen via vertrouwde toepassingen en infrastructuur. Dit benadrukt de noodzaak voor organisaties om niet alleen netwerkbeveiliging te implementeren, maar ook om hun infrastructuur proactief te monitoren op verdachte activiteiten .

De rol van cloudapplicaties en de kwetsbaarheid van API’s

Met de verschuiving naar cloudgebaseerde infrastructuren in 2024, zijn cloudapplicaties en de bijbehorende API’s een belangrijk doelwit geworden voor cybercriminelen. Cloud-API’s worden gebruikt om naadloze communicatie tussen verschillende clouddiensten en on-premises systemen mogelijk te maken. Deze API’s bieden een gemakkelijke toegangspoort voor aanvallers, aangezien veel van deze interfaces slecht beheerd of onvoldoende beveiligd zijn. In veel gevallen zijn cloud-API’s openbaar toegankelijk, waardoor aanvallers kwetsbaarheden kunnen testen zonder enige beperking.

Cybercriminelen maken gebruik van gestolen API-sleutels, sessietokens of andere authenticatiemiddelen om toegang te verkrijgen tot cloudomgevingen. Van daaruit kunnen ze gegevens stelen, systemen saboteren of zelfs ransomware-achtige aanvallen uitvoeren. Het probleem met cloud-API’s is dat ze vaak lastig te beheren zijn vanwege het grote aantal verschillende diensten die bedrijven gebruiken, waardoor ze moeilijk te beveiligen zijn.

Bovendien zijn cloud-API’s vaak verbonden met kritieke bedrijfsgegevens, waaronder financiële gegevens, gezondheidsinformatie en andere gevoelige informatie. Het stelen van gegevens via cloud-API’s kan leiden tot ernstige gevolgen voor de getroffen bedrijven, waaronder reputatieschade, juridische gevolgen en financiële verliezen. De risico’s die gepaard gaan met cloudbeveiliging vereisen dat bedrijven hun cloudinfrastructuur en API-beveiliging grondig herzien en versterken.

Het belang van AI beveiliging en het beschermen van netwerken

Het beveiligen van AI-modellen en -systemen is een groeiende prioriteit voor bedrijven. AI-gestuurde beveiligingstechnieken, zoals gedragsanalyse en anomaliedetectie, kunnen kwetsbaar worden voor manipulatie door cybercriminelen. Bedrijven moeten zich realiseren dat de traditionele beveiligingsmaatregelen, zoals firewalls en antivirussoftware, niet voldoende zijn om deze nieuwe dreigingen te bestrijden. Het is essentieel om specifieke beveiligingsmaatregelen voor AI-systemen te implementeren, zoals het valideren van trainingsdata, het bewaken van beslissingsprocessen en het versterken van toegangssystemen.

Bovendien moeten bedrijven niet alleen hun netwerken beschermen tegen externe aanvallen, maar ook interne bedreigingen aanpakken. Veel aanvallen beginnen met gestolen inloggegevens of onjuist geconfigureerde accounts. Het versterken van identiteits- en toegangsbeheer, evenals het implementeren van multi-factor authenticatie (MFA), kan helpen om veel van deze aanvallen te voorkomen.

In het licht van de snel veranderende dreigingen in de digitale wereld is het belangrijk dat bedrijven een holistische benadering van cyberbeveiliging aannemen. Dit betekent dat ze niet alleen moeten investeren in technische oplossingen, maar ook in het trainen van medewerkers om bewust te zijn van de nieuwste dreigingen, zoals phishing-aanvallen en social engineering-campagnes .

Wat is?

• AI-modellen: AI-modellen (kunstmatige intelligentie-modellen) zijn systemen die op basis van gegevens leren om taken uit te voeren, zoals het herkennen van patronen of het nemen van beslissingen. Cybercriminelen kunnen deze modellen manipuleren om verkeerde of ongewenste beslissingen te nemen.
• Manipulatie van trainingsdata: Dit verwijst naar het proces waarbij de gegevens die worden gebruikt om een AI-systeem te trainen, opzettelijk worden veranderd om het systeem te misleiden. Dit kan ertoe leiden dat AI-fouten maakt of zelfs dreigingen niet detecteert.
• Subtiele wijzigingen in de input: Dit betekent het aanbrengen van kleine, bijna onopvallende veranderingen in de gegevens die een AI-systeem ontvangt. Deze veranderingen kunnen ervoor zorgen dat het systeem geen bedreigingen meer herkent, zelfs als deze aanwezig zijn.
• Ransomware: Ransomware is schadelijke software die de bestanden of systemen van een slachtoffer versleutelt en vervolgens losgeld eist om deze weer vrij te geven. Het is een veelgebruikte aanvalsmethode voor cybercriminelen.
• Credential stuffing: Dit is een aanval waarbij aanvallers proberen in te loggen op meerdere accounts door gestolen gebruikersnamen en wachtwoorden (die vaak in datalekken verschijnen) op grote schaal in te voeren. Als gebruikers dezelfde inloggegevens voor meerdere sites gebruiken, kunnen aanvallers toegang krijgen tot andere accounts.
• Phishing: Phishing is een methode van sociale manipulatie waarbij cybercriminelen proberen gevoelige informatie, zoals inloggegevens, te verkrijgen door zich voor te doen als betrouwbare bronnen, vaak via e-mail of andere communicatiekanalen.
• LoLBins (Living off the land binaries): Dit zijn legitieme programma's of tools die al op een systeem aanwezig zijn en door aanvallers worden misbruikt om kwaadaardige activiteiten uit te voeren. Deze tools maken het moeilijker om aanvallers te detecteren, omdat ze geen nieuwe software hoeven te installeren.
• API (Application Programming Interface): Een API is een set van regels die bepaalt hoe softwarecomponenten met elkaar communiceren. Aanvallers kunnen misbruik maken van onveilige API's om toegang te krijgen tot gegevens of systemen.
• Active Directory: Dit is een Microsoft-systeem voor het beheren van netwerken, waarin informatie zoals gebruikersaccounts, wachtwoorden en toegangspolicies wordt opgeslagen. Het is een veelvoorkomend doelwit voor aanvallers, omdat het toegang biedt tot het gehele netwerk van een organisatie.
• MFA (Multi-Factor Authentication): MFA is een beveiligingsmaatregel waarbij een gebruiker meerdere vormen van verificatie moet bieden voordat toegang wordt verleend. Dit kan bijvoorbeeld een wachtwoord, een vingerafdruk of een beveiligingscode zijn die naar de telefoon van de gebruiker wordt gestuurd.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt. Heb je advies of hulp nodig? Digiweerbaar.nl

Meer cybercrime artikelen: