De opmars van Russische troepen in Oekraïne is door de internationale gemeenschap sterk veroordeeld. Hoewel militaire interventie uitbleef, hebben veel westerse landen en bedrijven gereageerd met uitgebreide sancties, waardoor het land en zijn burgers geen toegang meer hebben tot bezittingen, diensten en geldstromen.
Hoewel het effect van deze sancties op de uitkomst van het conflict nog moet worden afgewacht, leiden zij nu al tot grote problemen in Rusland en daarbuiten. Amerikaanse en Britse functionarissen hebben sindsdien gewaarschuwd dat de reactie van Rusland zal komen in de vorm van meer cyberaanvallen tegen westerse bedrijven en overheidsinstanties.
Dit zou niet als een verrassing moeten komen. Rusland heeft een lange geschiedenis op het gebied van cyberoorlog. Dit soort aanvallen van natiestaten zijn echter niet het enige probleem. Zoals bij elke massale crisis is ook het conflict tussen Rusland en Oekraïne door opportunistische cybercriminelen gebruikt om verwarring en desinformatie te verspreiden.
Maar hier houdt het niet op. We zien ook ongebruikelijke ‘omgekeerde’ aanvallen. Hackersgroepen zoals Anonymous beweren dat ze westerse organisaties aanvallen die nog steeds in Rusland actief zijn. Dit illustreert eens te meer dat het cyberlandschap zich tijdens grote wereldwijde conflicten op vele manieren kan ontwikkelen.
Een escalerend cyberconflict
Naarmate de spanningen in Oekraïne toenamen, nam ook het aantal staatsgesponsorde cyberaanvallen toe. Bij een recente aanval werden e-mailaccounts van Oekraïens militair personeel overgenomen om aanvallen uit te voeren op Europese overheidsmedewerkers die betrokken zijn bij vluchtelingenstromen uit Oekraïne.
Een soortgelijke dreiging, afkomstig uit China, was gericht tegen Europese diplomaten met behulp van vervalste VN-e-mailadressen. Ditmaal gebruikte de groep webbugs om slachtoffers te identificeren en vervolgens verschillende malware payloads via schadelijke URL’s te versturen.
Beide zijn kenmerkend voor de moderne, hybride oorlogsvoering. En net als bij traditionele oorlogsvoering is nevenschade onvermijdelijk. Hoewel de bovenstaande aanvallen gericht waren op specifieke overheidsorganisaties, zijn de meeste aanvallen tijdens conflicten veel minder specifiek.
Het is geen geheim dat Rusland een lange geschiedenis heeft op het gebied van cyberaanvallen door natiestaten. Wij blijven de activiteiten van verwante APT-groepen volgen en hebben onlangs een tijdlijn gepubliceerd over de activiteiten van de groep die wij TA422 noemen en die publiekelijk bekend staat als APT28.
Dan is er nog een ander type aanval om rekening mee te houden. Een aanval die niets te maken heeft met oorlog of wraak, en niet wordt uitgevoerd door een natiestaat. In plaats daarvan is dit het werk van de opportunistische cybercrimineel, die wil profiteren van een tijd van chaos, desinformatie en ontregeling.
Deze dreiging is veel breder, willekeurig en raakt slachtoffers in verschillende landen en bedrijfstakken, waardoor we allemaal in de vuurlinie komen te liggen.
Cybercriminelen – altijd opportunistisch
Cybercriminelen zijn niet kieskeurig als ze hun aanvallen op een belangrijke gebeurtenis willen afstemmen om hun kansen op succes te vergroten. Toen de pandemie in 2020 nog maar net was begonnen, werden honderden coronagerelateerde berichten ontdekt, waarin zogenaamd geneesmiddelen, vaccins en medisch advies werden aangeboden. Natuurlijk was niets hiervan waar: in plaats daarvan werden data gestolen, systemen in beslag genomen en losgeld geëist.
Hetzelfde zien we ook nu al tijdens dit incident. Cybercriminelen hebben phishing-campagnes opgezet en proberen mensen op te lichten met cryptodonaties. Hierbij doen ze zich voor als organisaties, waaronder de Oekraïense regering, UNICEF en het Rode Kruis.
Een andere veel voorkomende tactiek in tijden als deze is voorschotfraude. In dit geval doen oplichters zich voor als een Rus of een Oekraïense burger die moeite heeft om toegang te krijgen tot geld. Cybercriminelen gebruiken ook cryptocurrency-gerelateerde lokmiddelen om mensen ertoe te verleiden hun donaties naar de crimineel te sturen, in plaats van naar het Oekraïense leger.
Net als de coronagerelateerde berichten van twee jaar geleden, spelen deze aanvallen in op de emoties van het slachtoffer. Overweldigd door de 24-uurs nieuwscyclus en de dreigende Europese of zelfs wereldoorlog, zoeken velen van ons naar duidelijke informatie of een manier om te helpen. Potentiële slachtoffers voelen zich waarschijnlijk machteloos, alsof het enige wat ze kunnen doen is een petitie tekenen of geld sturen. En zij doen dat in goed vertrouwen.
Helaas is datzelfde vertrouwen ver te zoeken bij cybercriminelen. Zij kunnen als geen ander deze gevoelens beïnvloeden voor hun eigen gewin. En ze zullen niet aarzelen om zelfs de ergste crises en conflicten als middel te gebruiken om te krijgen wat ze willen.
Een beveiliging voor elke dag opbouwen
Tijdens het hoogtepunt van de pandemie, hebben veel organisaties coronaspecifieke trainingen ingevoerd om het beveiligingsbewustzijn te vergroten. Deze werden ontwikkeld om gebruikers te helpen veelvoorkomende aanvallen te herkennen en ze bleken een succes te zijn. Zo’n 80% van de organisaties gaf aan dat de training de kwetsbaarheid voor phishing verminderde.
Beveiligingsteams moeten nu weer hetzelfde doen. We weten dat relevante, gerichte en contextgebonden security awareness training werkt. Training moet dus altijd worden afgestemd op de bedreigingen waarmee gebruikers waarschijnlijk te maken krijgen.
Cybercriminelen zijn echter meedogenloos en willekeurig. Hoewel ze hun activiteiten opvoeren in tijden van crisis, vallen ze onze mensen het hele jaar door aan. Om ze op afstand te houden is dus een uitgebreide, meerlaagse verdediging nodig – niet alleen wanneer het risico groot is.
Vanuit technisch oogpunt moeten organisaties op dit moment, en tijdens elk aanhoudend wereldwijd conflict, goed in de gaten houden welke criminelen toegang zouden kunnen hebben tot hun data. Bovendien moeten zij agressievere en proactieve beveiligingsmaatregelen nemen. Organisaties moeten nog beter op hun datalogs letten en hun netwerkverkeer strikter monitoren. Ook moet de toegang tot data door derden nog strenger worden gecontroleerd.
Het is ook essentieel om te onthouden dat e-mail, ondanks de bron, het belangrijkste toegangspunt voor cyberaanvallen blijft. Elke effectieve verdediging moet beginnen met tools en controles om schadelijke berichten uit de inbox te houden.
We blijven de activiteiten volgen van cybercriminelen die actief betrokken zijn bij het conflict en deze proberen te beïnvloeden of er van proberen te profiteren. We publiceren deze bevindingen regelmatig zodat beveiligingsteams over de hele wereld er hun voordeel mee kunnen doen. Organisaties moeten het evoluerende dreigingslandschap voor blijven.
Adenike Cosgrove, Cybersecurity Strategist bij Proofpoint
