De 11e editie van het Threat Landscape van het Agentschap van de Europese Unie voor Cybersecurity (ENISA) benadrukt de ontwrichtende gevolgen van AI-chatbots en AI-gestuurde manipulatie van informatie.

De bevindingen van het Threat Landscape-rapport uit 2023 van het Agentschap van de Europese Unie voor Cybersecurity (ENISA) benadrukken de noodzaak van waakzaamheid in de aanloop naar de komende Europese verkiezingen in 2024.

ENISA registreerde ongeveer 2580 incidenten tijdens de rapportageperiode vanaf juli 2022 tot en met juni 2023. Aan dit totaal moeten 220 incidenten worden toegevoegd die specifiek gericht zijn op twee of meer EU-lidstaten.

Sectoren die het meest doelwit zijn, zijn onder meer de overheidsdiensten voor 19% en de gezondheidszorg voor 8%. Vanwege de onderlinge afhankelijkheid wordt echter een cascade-effect waargenomen, waarbij een enkele gebeurtenis meestal meerdere sectoren tegelijk treft. 6% van alle evenementen is gericht op de productie-, transport- en financiële sector.

Het ENISA Threat Landscape 2023 is het jaarverslag van het EU-Agentschap voor Cybersecurity.

Impact van social engineering- en informatiemanipulatiecampagnes

Van het totale aantal evenementen gerelateerd aan social engineering richtte 30% zich op het grote publiek, 18% op het openbaar bestuur en 8% op alle sectoren. Op dezelfde manier waren campagnes voor informatiemanipulatie gericht op individuen voor 47%, op het openbaar bestuur voor 29%, gevolgd door de verdediging voor 9% en media/entertainment voor 8%. Campagnes voor informatiemanipulatie worden beschouwd als een grote bedreiging voor verkiezingsprocessen.

Overzicht van evoluerende trends op het gebied van bedreigingsactoren

• Activiteiten van dreigingsactoren zoals cybercriminelen, statelijke actoren en hacktivisten worden beïnvloed door geopolitieke gebeurtenissen. Actoren op het gebied van de staatsrelaties richten zich steeds vaker op werknemers op sleutelposities, politici, overheidsfunctionarissen, journalisten of activisten. Ze nemen vooral hun toevlucht tot traditionele spearphishing-e-mails en tot sociale netwerken.

• Het trojaniseren van bekende softwarepakketten: we zien dat statelijke actoren aanvalspatronen overnemen die typisch zijn voor criminele campagnes. Of, in sommige gevallen, steunden actoren op het gebied van de staatsverbanden acties van cybercriminelen, direct of indirect. Enkele van de technieken omvatten gerichte malvertising waarbij kwaadaardige sites verwijzen naar getrojaniseerde versies van legitieme applicaties. Deze actoren nemen ook hun toevlucht tot technieken die hen volledige controle geven over het opstartproces van het besturingssysteem (OS), en het vervolgens mogelijk maken om de beveiligingsmechanismen van het besturingssysteem uit te schakelen.

• Software voor Remote Monitoring and Management (RMM) trok ook de aandacht van cybercriminelen. Met deze software kunnen aanvallers zich mengen in de normale activiteiten.

• Bedreigingsactoren maken ook misbruik van configuratiefouten in beveiligingsproducten om antivirusprogramma's zonder beheerdersrechten uit te schakelen of deze in te zetten voor laterale verplaatsing.

• Cybercriminelen wenden zich tot de cloudinfrastructuur van potentiële slachtoffers om schade aan te richten, voornamelijk door misbruik te maken van verkeerde cloudconfiguraties. Dit beperkt zich niet tot de systemen, opslag en netwerken van organisaties die in de cloud draaien, maar strekt zich ook uit tot de beheerconsoles van cloudinfrastructuren.

Belangrijkste bedreigingen

Ransomware staat nog steeds bovenaan het podium en is verantwoordelijk voor 34% van de EU-bedreigingen met DDoS, goed voor 28% van alle bedreigingen.

Bedreigingen door sectoren

Ransomware richt zich op alle sectoren, waarbij de productie 14% van alle ransomware-gebeurtenissen voor zijn rekening neemt, gevolgd door de gezondheidszorg voor 13%, vervolgens door het openbaar bestuur voor 11% en de dienstensector voor 9%.

Wat betreft DDoS-aanvallen en datagerelateerde bedreigingen was 34% van de DDoS-aanvallen gericht op het openbaar bestuur, gevolgd door de transportsector voor 17% en de bank- en financiële sector voor 9%.

Bedreigingen voor de beschikbaarheid van internet hadden vooral gevolgen voor de digitale infrastructuur voor 28% en voor digitale dienstverleners voor 10%.

De omvang van de impact van aanvallen op de toeleveringsketen komt naar voren als een substantiële zorg in het kader van de komende verkiezingen. Dit komt omdat dergelijke aanvallen het openbaar bestuur voor 21% en digitale dienstverleners voor 16% troffen. Bovendien werd de exploitatie van kwetsbaarheden in verband gebracht met gebeurtenissen waarbij digitale dienstverleners voor 25%, digitale infrastructuren voor 23% en het openbaar bestuur voor 15% betrokken waren.

Doelsectoren per aantal incidenten (juli 2022-juni 2023)

Financieel gewin en disruptie als topmotivatie

In de meeste gevallen kunnen topdreigingen worden gemotiveerd door een combinatie van bedoelingen, zoals financieel gewin, verstoring, spionage, vernietiging of ideologie in het geval van hacktivisme.

Hoewel ransomware-aanvallen primair gemotiveerd zijn door financieel gewin, is een aantal van dergelijke aanvallen ook bedoeld om een ​​ontwrichtend effect te hebben. Disruptie wordt nu geïdentificeerd als het tweede meest voorkomende motief, na financieel gewin. Disruptie is de belangrijkste drijfveer voor DDoS-aanvallen en voor informatiemanipulatie.

Diepe nep en AI

Kunstmatige intelligentie en de complexiteit van grote taalmodellen (LLM's) hebben de laatste tijd veel aandacht gekregen. Deepfakes en andere soortgelijke technologieën kunnen bijdragen aan het doel van realistische en gerichte social engineering-aanvallen. We moeten alert zijn op het potentiële misbruik van door kunstmatige intelligentie aangedreven chatbots bij phishing-pogingen, informatiemanipulatie en cybercriminaliteit.

Een aantal oudere technieken vergen echter veel minder inspanning en blijven nog steeds zeer efficiënt. Er is een heropleving van deze technieken waargenomen. Vergiftiging door zoekmachineoptimalisatie (SEO) en hoewel gedateerd, malvertising heeft nieuwe belangstelling gewekt onder cybercriminaliteitsactoren.

Veelvoorkomende kwetsbaarheden en blootstellingen (CVE)

Er werden in totaal 24.690 veelvoorkomende kwetsbaarheden en blootstellingen geregistreerd, wat een stijging betekent van 2.770 in vergelijking met de voorgaande rapportageperiode, die liep van juli 2021 tot juli 2022 en waarin in die periode 21.920 kwetsbaarheden werden geïdentificeerd.

Achtergrond

Het ENISA Threat Landscape-rapport brengt het cyberdreigingslandschap in kaart om besluitvormers, beleidsmakers en veiligheidsspecialisten te helpen strategieën te definiëren om burgers, organisaties en cyberspace te verdedigen. Dit werk maakt deel uit van het jaarlijkse werkprogramma van het EU-Agentschap voor Cybersecurity om strategische informatie aan zijn belanghebbenden te verstrekken.

De inhoud van het rapport is afkomstig uit open bronnen zoals mediaartikelen, meningen van deskundigen, inlichtingenrapporten, incidentanalyses en veiligheidsonderzoeksrapporten; evenals via interviews met leden van de ENISA Cyber ​​Threat Landscapes Working Group (CTL-werkgroep).

De analyse en standpunten van het dreigingslandschap door ENISA zijn sector- en leveranciersneutraal. Informatie gebaseerd op OSINT (Open Source Intelligence) en het werk van ENISA op het gebied van situationeel bewustzijn hielpen ook bij het documenteren van de analyse die in het rapport wordt gepresenteerd.