Darktrace executives geven inzicht in security-trends voor 2024

Cybercriminelen omarmen AI verder; mogelijk eerste AI-worm op komst

Chief Product Officer Max Heinemeyer wijst erop dat 2023 het jaar is waarin aanvallers WormGPT en FraudGPT hebben getest en grootschalig AI in hun aanvalsmethoden hebben toegepast. In 2024 gaan we zien hoe meer geavanceerde APT’s, zoals nation-state aanvallers en geavanceerde ransomware-bendes AI zullen adopteren. Het gevolg is dat aanvallen mogelijk nog sneller, schaalbaarder, gepersonaliseerder en gecontextualiseerder worden. Het zou ook het jaar kunnen zijn waarin aanvallers traditionele worm-ransomware - zoals WannaCry of notPetya - combineren met meer geavanceerde, AI-gestuurde automatisering om een agressieve, autonome agent te creëren die over geavanceerde, contextgebaseerde besluitvormingsmogelijkheden beschikt.

Met genAI behoren taalbarrières in phishing-e-mails tot het verleden

Al decennialang wordt het merendeel van cyber-enabled social engineering, zoals phishing, in het Engels uitgevoerd. Over het algemeen vonden cybercriminelen het niet de moeite waard om lokale talen te gebruiken. Dat maakte niet-Engels sprekende landen een minder groot doelwit. Met de introductie van generatieve AI is de toegangsdrempel voor het schrijven van tekst in andere talen echter drastisch verlaagd, voorspelt Analist Technical Director Oakley Cox. Darktrace heeft de toegenomen complexiteit van het gebruik van de Engelse taal bij phishing-aanvallen al waargenomen. In 2024 kunnen we van aanvallers verwachten dat ze nieuwe taalmogelijkheden toepassen die voorheen als complex werden beschouwd. Bovendien zullen phishing-e-mails in vreemde talen cybercriminelen waarschijnlijk meer geld opleveren. Het is namelijk onwaarschijnlijk dat e-mailbeveiligingsoplossingen die zijn getraind met Engelstalige mails aanvallen in de lokale taal zullen detecteren. Deze e-mails zullen dus terechtkomen in de inbox van medewerkers die niet gewend zijn om social engineering-pogingen in hun moedertaal te ontvangen. Bovendien zullen phishing-e-mails in vreemde talen cybercriminelen waarschijnlijk meer geld opleveren, omdat dit hun pool van potentiële doelwitten vergroot.

Aanvallers betalen insiders om dreigingen te worden

Een interessante trend in opkomst is door insiders ondersteunde aanvallen. Insider threats zijn niet nieuw, maar worden vaak vergeten. Van oudsher hebben we insiders data zien stelen en lekken vanaf hun werkplek. Een nieuwe ontwikkeling die we het afgelopen jaar zagen, is dat een cyberactor een intern personeelslid betaalt voor zijn inloggegevens om een cyberaanval op het netwerk uit te voeren, voorspelt Global Head of Incident Management David Mata. We kennen minstens één bedrijf dat te maken kreeg met een beveiligingsincident van binnenuit dat leidde tot een ransomware-aanval. Het personeelslid had zijn inloggegevens tegen betaling afgegeven. In 2024 zullen we een toename zien van dit soort door mensen gestarte insider-aanvallen.

Meer MFA-bypass-aanvallen

Multifactor authenticatie (MFA) is enorm succesvol geweest in het voorkomen van bruteforce-aanvallen en het hergebruiken van gestolen wachtwoorden. Door zijn effectiviteit is MFA een voorwaarde geworden in veel beveiligingsframeworks. Dit heeft er echter ook voor gezorgd dat aanvallers zich hieraan hebben aangepast, waarschuwt Director of Red Team Liam Dermody. Cybercriminelen hebben manieren gevonden om MFA te omzeilen, waaronder het verzenden van talloze MFA-pushmeldingen totdat een slachtoffer op ‘accepteren’ klikt of het gebruik van gedetailleerd OSINT-onderzoek naar een doelwit om een SIM-swap mogelijk te maken, waardoor de aanvaller de telefoon van het slachtoffer kan nabootsen. In 2024 zal deze trend zich alleen maar voortzetten. We moeten MFA niet meer beschouwen als een wondermiddel, maar alert zijn op ongewone activiteiten die tijdens en na authenticatie kunnen plaatsvinden.

Meer gefaseerde aanvallen naarmate Malware-as-a-Service zich verspreidt

Met de toename van ‘as-a-Service’-marktplaatsen is het waarschijnlijk dat organisaties in 2024 te maken zullen krijgen met meer gefaseerde aanvallen, waarschuwt Director of Threat Search Hanah Darley. Eén soort malware steelt hierbij informatie, waarna deze wordt verkocht aan andere dreigingsactoren en vervolgens gebruikt voor malware of ransomware in een tweede en/of derde fase. Deze trend bouwt voort op het concept van initiële access brokers, maar maakt gebruik van eenvoudige browser scraping en dataverzameling om tijdens de aanval zoveel mogelijk winst te maken. Beveiligingsteams zullen steeds vaker meerdere kwaadaardige tools en vormen van malware observeren tijdens hun reactie op incidenten - waarbij aanvalscycli en kill-ketens veranderen in minder lineaire en meer abstracte activiteitenketens - waardoor het belangrijker wordt dan ooit om een anomaliebenadering toe te passen om asymmetrische dreigingen voor te blijven.

AI-regulering en dataprivacyregels remmen de adoptie van AI

In Europa zullen zowel groeiende zorgen rond AI-regelgeving als problemen met dataprivacy de adoptie in AI in 2024 in alle sectoren belemmeren, verwacht Director of Threat Research Hanah Darley. Dit zal vooral het geval zijn voor meer traditionele tools die afhankelijk zijn van klantdata die worden opgeslagen en gebruikt voor modeltraining. De toenemende bezorgdheid over dataprivacy in combinatie met strengere normen die worden toegepast op de ontwikkeling van AI zal waarschijnlijk veel Europese organisaties ervan weerhouden om interne AI te ontwikkelen of AI-systemen van derden te gebruiken. De discussie rond de invloed van AI op privacybescherming rond data die van klanten zijn opgeslagen, is niet nieuw. Problemen rond datavergiftiging en supply chain-risico’s zullen de acceptatie van AI echter alleen maar verder afremmen.

Autonome agents versterken aanvallers en verdedigers

Aanvallers gaan hun inspanningen in 2024 richten op het verbeteren en optimaliseren van autonome agents (bijvoorbeeld AutoGPT) om on-demand aanvallen uit te breiden, voorspelt VP Strategic Cyber AI Nicole Carignan. Naarmate autonome agents geavanceerder worden, zullen ze hun besluitvorming over de beste volgende stap om een aanval vooruit te helpen beter kunnen sturen. Momenteel hebben autonome agents een beperkte capaciteit om complexe beslissingen te nemen, maar naarmate tegenstanders bestaande agents trainen en optimaliseren, zullen ze nog beter in staat zijn tot gerichte en geavanceerde acties. Tegelijkertijd zullen menselijke verdedigers ook steeds afhankelijker worden van autonome agents. Om dit vertrouwen op te bouwen, is de uitlegbaarheid en transparantie van autonome agents en hun besluitvorming cruciaal.

Disruptieve ransomware-aanvallen vaker gericht op OT achter kritieke infrastructuur

Naarmate netwerk- en e-mailbeveiliging verbetert in zowel de publieke als private sector, zullen we zien dat cybercriminele groepen zich meer gaan richten op minder goed beveiligde doelwitten zoals operationele technologie (OT)-omgevingen die verbonden zijn met productie of kritieke infrastructuur. OT-beveiligingsteams worstelen met oude systemen en een groeiende IT- en OT-connectiviteit binnen hun omgeving. Ze worden hierdoor steeds vaker doelwit van aanvallers met een winstoogmerk, waarschuwt CEO van Darktrace Federal Marcus Fowler. Ook niet-statelijke actoren zullen hier een gevaar vormen naarmate ze vaker bereid zullen zijn om kritieke infrastructuur aan te vallen. Daarnaast verhoogt het toegenomen vermogen van niet-statelijke actoren om geavanceerde aanvallen uit te voeren, gecombineerd met de toenemende kwetsbaarheid van kritieke infrastructuur naarmate IT- en OT-systemen steeds meer verbonden raken, de kans op ransomware-aanvallen enorm. Cybercriminelen weten dat dit soort organisaties het zich niet kunnen veroorloven om hun systemen ook maar een moment uit de lucht te halen. Dit betekent dat elke cyberverstoring, hoe klein ook, kan worden gebruikt om slachtoffers af te persen voor financieel gewin.