Unit 42 waarschuwt voor een groeiende cyberdreiging vanuit Noord-Korea. In twee nieuwe onderzoeken schetst Unit 42 hoe Noord-Koreaanse hackers steeds geraffineerdere methoden gebruiken om organisaties wereldwijd te infiltreren en schade toe te brengen. In het eerste onderzoek demonstreert Unit 42 hoe Noord-Koreaanse IT’ers real-time deepfakes inzetten om via remote werkposities toegang te krijgen tot organisaties. Hieruit blijkt dat hackers, zelfs zonder enige ervaring, in iets meer dan een uur een overtuigende realtime deepfake kunnen maken met vrij beschikbare tools en goedkope consumentenhardware.
- Snelle implementatie van deepfakes: Unit 42 toont aan dat het maken van een overtuigende realtime deepfake minimale technische expertise vereist en in iets meer dan een uur kan worden gedaan, met behulp van direct beschikbare tools en goedkope hardware.
- Manipulatie tijdens sollicitatiegesprekken: er zijn gevallen gedocumenteerd waarin kandidaten deepfakes gebruikten tijdens virtuele sollicitatiegesprekken, waarbij ze identieke achtergronden presenteerden. Verbeterde prestaties tijdens vervolginterviews wijst op herhaalde pogingen door dezelfde persoon onder verschillende aliassen.
- Evolutie synthetische identiteit: Noord-Koreaanse dreigingsactoren zijn geëvolueerd van het gebruik van gestolen persoonlijke informatie naar het creëren van volledig synthetische identiteiten, waarbij zij AI-gegenereerde gezichten en gemanipuleerde documenten inzetten om hun geloofwaardigheid te vergroten.
- Operationele voordelen: het toepassen van deepfakes stelt hackers in staat anoniem te blijven, detectie te ontwijken en hun operaties voort te zetten, zelfs wanneer een synthetische identiteit wordt gecompromitteerd.
Ransomware-afpersing neemt toe
Unit 42 heeft ook haar laatste bevindingen gepubliceerd over afpersing en ransomware trends (januari - maart 2025). Uit de bevindingen blijkt onder meer dat een door de Noord-Koreaanse overheid gesteunde groep rechtstreeks samenwerkt met ransomware-groepen.
- Misleidende afpersingsclaims: dreigingsactoren beweren steeds vaker onterecht dat er sprake is van datalekken. In sommige campagnes worden fysieke brieven naar leidinggevenden gestuurd waarin - zonder bewijs - wordt beweerd dat hun organisatie is gecompromitteerd, in een poging om betalingen af te dwingen.
- Samenwerking tussen statelijke actoren en cybercriminelen: er is een groeiende trend waarbij statelijke actoren samenwerken met ransomwaregroepen. Hierdoor vervaagt de grens tussen door staten gesponsorde spionage en financieel gemotiveerde cybercriminaliteit.
- Gerichte aanvallen op cloudinfrastructuur: hackers breiden hun focus uit van traditionele netwerken naar cloudomgevingen en maken misbruik van kwetsbaarheden in cloud-gebaseerde systemen om ongeautoriseerde toegang te verkrijgen.
- Dreigingen van binnenuit: het rapport signaleert een toename van afpersingszaken waarbij interne medewerkers bewust of onbewust cybercriminelen ondersteunen. Dit onderstreept de noodzaak van robuuste interne beveiligingsmaatregelen.
- Uitschakelen van beveiligingsoplossingen: hackers gebruiken geavanceerde technieken om EDR-systemen (Endpoint Detection and Response) uit te schakelen, zodat ransomware-aanvallen ongemerkt kunnen worden uitgevoerd.
- Primair getroffen sectoren: de productiesector blijft het belangrijkste doelwit van ransomware-aanvallen, gevolgd door de groothandel/detailhandel en de professionele/juridische dienstverlening.
Unit 42 is het onderzoeksteam van Palo Alto Networks,