Steeds meer bedrijven zijn meerdere keren het slacht­offer van cyber­af­per­sing. Deze nieuwe, zorgwek­kende trend wordt verer­gerd door de sterke toename van het aantal slacht­of­fers van cyber­af­per­sing wereld­wijd. Die conclusie trekken onder­zoe­kers van Orange Cyber­de­fense in hun nieuwste rapport: Cy-Xplorer 2024.

In de afgelopen 12 maanden is het aantal slacht­of­fers van cyber­af­per­sing gestegen met 77% ten opzichte van het voorgaande jaar. Uit het rapport blijkt dat een steeds groter deel daarvan meerdere keren te maken heeft gehad met deze vorm van cyber­cri­mi­na­li­teit. Re-victi­mi­za­tion is in 2023 gegroeid met 127% ten opzichte van 2022. Verge­leken met 2020 is dat zelfs een groei van 1.533%. Uit voorlo­pige cijfers van dit jaar blijkt dat deze stevige groei doorzet.

Patronen van re-victimization

De onder­zoe­kers onder­scheiden in het rapport drie manieren waarop re-victi­mi­za­tion plaatsvindt:

• Het opnieuw aanvallen door dezelfde dreigings­actor binnen enkele maanden.
• Het herhaal­de­lijk delen van gegevens van hetzelfde slacht­offer door verschil­lende dreigings­ac­toren op leaksites, met tussen­pozen van enkele maanden tot jaren.
• Het ontstaan van nieuwe aanvallen na de verkoop van eerder gestolen gegevens op de dark web-marktplaatsen.

Volgens de onder­zoe­kers komt het regel­matig voor dat sommige organi­sa­ties meerdere keren worden gechan­teerd door verschil­lende groepen. Dit wijst volgens hen op een goed georga­ni­seerde en wijdver­breide crimi­nele infra­struc­tuur. Aanval­lers maken hierbij gebruik van elkaars opgedane inzichten om blijvende druk uit te oefenen op slachtoffers.

Rol van affiliates

Een belang­rijke oorzaak van herhaalde aanvallen tegen hetzelfde bedrijf zijn volgens de onder­zoe­kers zogenaamde ‘affili­ates’. Deze cyber­cri­mi­nelen werken samen met meerdere cyber­af­per­sings­or­ga­ni­sa­ties. “Een affiliate, die mogelijk toegang heeft gekregen tot de systemen van een bedrijf tijdens een eerdere aanval, verkoopt of deelt deze gegevens met andere crimi­nele groepen”, legt Matthijs van der Wel-ter Weel, strate­gisch adviseur bij Orange Cyber­de­fense Neder­land, uit. 

“Deze groepen voeren vervol­gens hun eigen aanvallen uit, gebruik­ma­kend van de eerder verkregen infor­matie om hun kansen op succes te vergroten. Dit herge­bruik van gegevens leidt tot een verhoogde kans op herhaalde aanvallen, omdat verschil­lende groepen steeds opnieuw dezelfde kwets­baar­heden exploiteren.”

Aanbevelingen

Orange Cyber­de­fense adviseert de volgende maatre­gelen om herhaalde aanvallen te voorkomen:

1. Snelle identi­fi­catie en aanpak van kwets­baar­heden
   Na een aanval is het cruciaal om zo snel mogelijk de oorzaak van de inbreuk te achter­halen. Voer een grondige foren­si­sche analyse uit om te identi­fi­ceren hoe de aanval­lers toegang hebben gekregen en dicht eventuele kwets­baar­heden. Dit voorkomt dat aanval­lers dezelfde methoden opnieuw kunnen gebruiken.
2. Imple­men­teer inbraak­de­tec­tie­sys­temen (IDS) en ‑preven­tie­sys­temen (IPS)
   Gebruik geavan­ceerde IDS en IPS om verdachte activi­teiten binnen het netwerk te detec­teren en te blokkeren. Deze systemen kunnen helpen bij het identi­fi­ceren van pogingen tot herhaalde aanvallen door bekende dreigingsactoren.
3. Voer regel­ma­tige pentests uit
   Laat regel­matig penetra­tie­tests uitvoeren om kwets­baar­heden in systemen te identi­fi­ceren en te verhelpen. Dit helpt bij het voorkomen van herge­bruik van eerder misbruikte kwetsbaarheden.
4. Beheer en monitor toegangs­rechten strikt
   Herzie en beperk regel­matig de toegangs­rechten van gebrui­kers binnen het netwerk. Zorg ervoor dat alleen bevoegde personen toegang hebben tot kritieke systemen en gegevens, en monitor toegangs­logs op verdachte activiteiten.
5. Ga niet te snel over tot betaling, ook niet als een verze­ke­raar deze dekt
   Bedrijven sluiten steeds vaker een cyber­ver­ze­ke­ring af om de finan­ciële gevolgen van een cyber­aanval af te dekken. Bij een incident schakelt de verze­ke­raar doorgaans een incident response provider in die met de dreigings­actor onder­han­delt. In veel gevallen is het voor de verze­ke­raar goedkoper om het gevraagde losgeld te betalen dan om de volle­dige schade te vergoeden. Maar als je bekend komt te staan als een partij die betaalt, maakt dat je aantrek­ke­lijk om opnieuw aan te vallen. In plaats van het belonen van de aanval­lers is het verstan­diger te inves­teren in cybersecurity.
6. Kies voor Managed Detec­tion & Response (MDR)
   Bedrijven die niet de capaci­teit hebben om 24/​7 waakzaam te zijn, kunnen gebruik­maken van MDR. De externe securi­ty­pro­fes­si­o­nals kunnen wel direct ingrijpen bij incidenten en schade door herha­lings­aan­vallen voorkomen.

Download het volle­dige rapport met gedetail­leerde analyses en aanbe­ve­lingen hier.