In het Hi-Tech Crime Trends-rapport van Group-IB staat een uitgebreid overzicht van het cyberdreigingslandschap in de Europese regio voor de jaren 2023/2024. Het rapport geeft een grondige analyse van hoe de uitdagingen op het gebied van cyberbeveiliging in Europa zich hebben ontwikkeld.
In 2023 hebben de onderzoekers van Group-IB vastgesteld dat het aantal Ransomware-aanvallen in Europa met ongeveer 52% is gestegen, waarbij productie-, vastgoed- en transportbedrijven de belangrijkste doelwitten blijven. Het Verenigd Koninkrijk, Frankrijk en Duitsland zijn nog steeds de landen die het vaakst het doelwit zijn van Ransomware-as-a-service (RaaS). In 2023 werden er in deze regio maar liefst 108 cyberaanvallen uitgevoerd door verschillende door de staat gesponsorde hackersgroepen. Overheids- en militaire instellingen waren met 48 aanvallen de voornaamste doelwitten. Informatiedieven vormen een groot probleem en zijn verantwoordelijk voor 250.000 geïnfecteerde apparaten (23% meer dan in 2022) in de Europese regio waarvan de logs beschikbaar werden gesteld op Underground Clouds of Logs (UCL), en nog eens 647.485 hosts, waarvan de logs te koop werden aangeboden op ondergrondse markten, een stijging van 28% ten opzichte van het jaar ervoor. Tegelijkertijd laat het rapport een daling zien van 7% van de aangeboden verkoop van initiële toegang tot gecompromitteerde netwerken in de regio. Ook verschenen er in 2023 iets meer dan één miljoen gecompromitteerde kaarten (geregistreerd in Europa) op de ondergrondse markt. Het cijfer voor 2022 is niet veranderd.
Europa in het vizier
Onderzoekers van Group-IB ontdekten dat de Europese regio vorig jaar het tweede belangrijkste wereldtoneel was voor geavanceerde persistente bedreigingen (APT's). In 2023 schreef Group-IB wereldwijd in totaal 523 aanvallen toe aan actoren gesponsord door een land. Aanvallen op Europese organisaties waren verantwoordelijk voor 21% van het wereldwijde totaal. Europa kreeg te maken met 108 cyberaanvallen, uitgevoerd door verschillende door de staat gesponsorde hackersgroepen. De meest opvallende groepen die actief waren in Europa waren Lazarus, Mustang Panda, APT41 en Sandman (allemaal uit Oost-Azië), samen met APT28, BlackEnergy, Gamaredon, Turla en Callisto (allemaal uit het Gemenebest van Onafhankelijke Staten (GOS)). De aanvallen waren complex en gericht, wat de stijgende trend onderstreept om cybercriminaliteit te gebruiken voor het bereiken van aan overheid gerelateerde doelen.
Met 31 geregistreerde incidenten was Oekraïne het belangrijkste slachtoffer van aanvallen waarbij staat gesponsorde cyber criminelen betrokken waren, wat waarschijnlijk een weerspiegeling is van de aanhoudende politieke conflicten in de regio. De andere vier landen in Europa die het meest het doelwit waren van APT-groepen waren Polen (elf aanvallen), Duitsland, Frankrijk en Italië met elk zes aanvallen.
In Europa waren overheids- en militaire instellingen met 48 aanvallen de belangrijkste sectoren waarin APT-groepen geïnteresseerd waren. Hieruit blijkt dat door de staat gesponsorde groepen vooral geïnteresseerd zijn in gebieden die de nationale veiligheid en het buitenlands beleid beïnvloeden.
Ransomware: dubbele groei in 2023
Ransomware behoudt een aanzienlijke voorsprong in zowel omvang als impact en blijft een belangrijke bedreiging vormen voor de Europese markt. Europa werd opnieuw de op één na meest getroffen regio na Noord-Amerika, met 1.186 bedrijven waarvan de informatie werd gepubliceerd op Data Leak Sites (DLS's, sites voor datalekken). Dit betekent een stijging van ongeveer 52% ten opzichte van het voorgaande jaar, toen informatie van 781 slachtofferbedrijven uit Europa op deze sites verscheen.
In 2023, kwam de productiesector naar voren als de sector die het vaakst het doelwit was in de regio, goed voor 16% van alle slachtofferbedrijven waarvan de gegevens op DLS's waren geplaatst. De vastgoedsector kwam op de tweede plaats en was betrokken bij 8% van alle aanvallen in de regio. De transportsector volgde op de derde plaats en was het doelwit van 5% van de aanvallen.
Wat betreft de meest actieve Ransomeware-groepen in de regio, voerde LockBit de lijst aan met 26% van de aanvallen in Europa, gevolgd door Play met 9% en Black Basta met 7%. Bij bedrijven in het Verenigd Koninkrijk die in 2023 door Ransomware getroffen zijn, is een significante toename te zien met een stijging van ongeveer 73% tot 245, waarmee het Verenigd Koninkrijk het meest getroffen land in Europa is, gebaseerd op gegevens die zijn geplaatst op DLS's met betrekking tot Ransomware. Frankrijk zag een stijging van 45% tot 149 getroffen bedrijven, terwijl Duitsland een stijging van 12% kende met 145 bedrijven die getroffen werden.
Bear market: broker activiteit neemt af
Partijen die zich bezighouden met Ransomware en die initiële toegang tot bedrijfsnetwerken verkopen op het dark web, ook bekend als Initial Access Brokers (IAB's), hebben een lichte daling doorgemaakt en zich aangepast aan de eisen van andere bedreigingsactoren in de Europese regio.
In 2023 werd de toegang tot bedrijfsnetwerken in Europa 628 keer te koop aangeboden, een daling van 7% ten opzichte van 2022 (674 keer). De top vijf Europese landen waarop IAB's zich richtten waren het Verenigd Koninkrijk (111), Frankrijk (83), Spanje (70), Duitsland (63) en Italië (62).
In 2023 werd de professionele dienstverlening sector het zwaarst getroffen, met een verdubbeling ten opzichte van 2022, in totaal 52 (8% van alle aanbiedingen die op de regio gericht waren). De productiesector volgde met 44 aanbiedingen (7% van alle aanbiedingen gericht op de regio), en de detailhandel met 37 aanbiedingen (6% van alle aanbiedingen gericht op de regio) geplaatst door IAB's.
Het aanbod voor VPN-toegang daalde met 50%, terwijl het aanbod van RDP- accounts steeg met 34%. Toegangsaanbiedingen met gebruikersprivileges zijn in 2023 met 35% gestegen, wat ofwel wijst op een sterkere toegangsdifferentiatie door bedrijven of op een gebrek aan vaardigheden bij de IAB's.
De meest actieve IAB in de regio was de groep genaamd mazikeen, een nieuwe speler die actief is sinds januari 2023. Meestal verkocht mazikeen toegang tot bedrijfsnetwerken via gecompromitteerde RDP-accounts (98%). Een derde van de slachtoffers van mazikeen zijn bedrijven in Europa. Bijna alle aanbiedingen bevatten informatie over het land, de sector, de toegangsprivileges, het toegangsniveau en de antivirussystemen van het bedrijf.
Op basis van de activiteiten van mazikeen konden de experts van Group-IB concluderen dat deze groep Russisch spreekt en zichzelf als vrouw identificeert, wat zeldzaam is in de cyber criminele ondergrondse markt. Op forums vermeldde mazikeen dat ze geen bedrijfsnetwerken scant die te koop worden aangeboden. De prijzen van de broker worden beschouwd als een van de laagste. Haar prijzen begonnen bij $30 en de gemiddelde prijs was $180,20.
Raccoon en co. stelen dingen
Logs van stealers zijn een van de belangrijkste manieren geworden voor cybercriminelen om toegang te krijgen tot bedrijfsnetwerken, omdat ze eenvoudig, maar zeer effectief zijn. Stealers zijn een soort malware die in browsers opgeslagen gegevens, bankkaartgegevens, informatie over cryptoportefeuilles, cookies, browsegeschiedenis en andere informatie verzamelen van browsers die zijn geïnstalleerd op geïnfecteerde computers.
Gratis Underground Clouds of Logs (UCL) zijn een van de belangrijkste bronnen van gegevens over geïnfecteerde hosts. UCL's zijn speciale diensten die toegang bieden tot gecompromitteerde vertrouwelijke informatie die meestal is verkregen door stealers. Elke dag worden er gigabytes aan datalogs gepubliceerd en dat aantal blijft groeien. In het afgelopen jaar is het aantal unieke geïnfecteerde hosts in Europa waarvan de logs zijn gepubliceerd op UCL's met 23% gestegen tot meer dan 250.000.
Spanje staat aan kop met een groei van 48% aan hosts op UCL (31.665) terwijl het land een jaar geleden nog op de derde plaats stond. Op de tweede plaats staat Frankrijk (de leider in 2022), met een daling van 3% van hosts op UCL tot 25.873. Polen sluit de top drie van meest getroffen landen in Europa af met een stijging van 6% (23.393). Twee landen met een significante groei in 2023 waren Duitsland (met een stijging van 32% tot 22.966) en Italië (met een stijging van 18% tot 22.309).
Vergeleken met 2022 is de lijst van de drie populairste stealers die worden gebruikt om hosts aan te vallen en waarvan de logs zijn gevonden op UCL's, licht gewijzigd. Vidar, vorig jaar nog tweede, is nu vierde en maakt plaats voor de МЕТА-stealer. De top drie van stealers die gebruikers in Europa aanvallen zijn RedLine Stealer, META en Raccoon.
Ondergrondse markten nemen ook toe. In tegenstelling tot UCL's, waar een groot deel van de logs gratis wordt verspreid, worden ondergrondse markten altijd gebruikt om logs te verkopen van hosts die het doelwit zijn geworden van stealers. In 2023 was er een stijging van 28% ten opzichte van 2022, en het totale aantal te koop aangeboden en aan Europa gerelateerde hosts bedroeg 647.485. Voor het eerst werd Spanje het belangrijkste doelwit op basis van logs die werden aangetroffen op ondergrondse markten, met 73.788 gedetecteerde logs in 2023, wat een stijging is van 42% vergeleken met het jaar ervoor. De volgende landen op deze ranglijst zijn Italië met 72.138 logs (een stijging van 33%), en Frankrijk met 69.026 logs (een stijging van 23%). Raccoon, LummaC2 en RedLine Stealer zijn de populairste stealers onder cybercriminelen die zich op de regio richten.
Meer datalekken
In 2023 werden in Europa 386 nieuwe gevallen van datalekken naar het publieke domein ontdekt. Als onderdeel van deze incidenten werden meer dan 292.034.484 miljoen strings met gebruikersgegevens gecompromitteerd. Frankrijk, Spanje en Italië werden het hardst geraakt, met respectievelijk 64, 62, en 52 gevallen van datalekken.
E-mailadressen, telefoonnummers en wachtwoorden vormen het grootste risico omdat ze allemaal kunnen worden gebruikt door cyber criminelen voor verschillende soorten aanvallen. Van alle gelekte gegevens bevatten 140.642.816 vermeldingen van e-mailadressen (waarvan 96.590.836 uniek waren). Daarnaast werden 9.784.230 lekken van wachtwoorden (waarvan 3.832.504 uniek) en 157.074.355 vermeldingen met telefoonnummers (waarvan 95.728.584 uniek) gedetecteerd.