Malware is nog overal, maar de focus ervan verschuift. Dat moet blijken uit het lijvige Security Navigator-rapport van Orange Cyberdefense. Het rapport is gebaseerd op meer dan 99.000 onderzoeken van verschillende 'detection and response centers' naar mogelijke beveiligingsincidenten. Van die onderzoeken bleek zo'n 29 procent ook echt een securityprobleem te zijn.

En zo'n beveiligingsprobleem kan allerlei oorzaken hebben. Orange Cyberdefense berekent dat het in 40 procent van de gevallen om malware gaat, naast onder meer anomalieën op het netwerk (19 procent) en op de systemen (12 procent).

Kmo's

Kijken we naar de slachtoffers, dan valt daar op dat kmo's (in dit rapport bedrijven met minder dan 500 werknemers) het vaakst met malware te maken krijgen. In de data van Orange Cyberdefense vormen ze 49 procent van de onderzochte incidenten rond malware. Al is dat niet meteen een teken dat aanvallers hen doelbewust gaan uitkiezen, zegt Charl van der Walt, head of Security Research bij Orange Cyberdefense aan Data News: 'Er zijn er gewoon veel meer van. Proportioneel gezien zijn grotere bedrijven vaker het doelwit. Maar de meeste aanvallers zijn opportunistisch en dan speelt de focus veel minder een rol. Er zijn meer kmo's dan grote bedrijven, dus zullen ze vaker het slachtoffer worden. Voor beleidsmakers is het echter belangrijk om te weten dat cyberafpersing heel veel slachtoffers maakt bij kleinere bedrijven. Dat is een systemisch risico.'

Kijken we dan naar sectoren, dan is het vooral de maakindustrie die opvallend vaak slachtoffer wordt van aanvallen. Criminelen gaan hier overigens vooral de 'conventionele' IT-systemen infecteren, en niet de gespecialiseerde operationele technologie, zoals industriële controllers. 'Maar het kan wel een control platform zijn dat bijvoorbeeld nog op Windows 95 draait,' lacht Van der Walt. 'Bedrijven in manufacturing worden bovengemiddeld vaak slachtoffer van cyberafpersing. Een van de weinige mogelijke redenen die we daar zien, is dat ze trager zijn bij het installeren van patches dan veel andere sectoren.'

Patch Tuesday

Bedrijven in de maakindustrie doen er gemiddeld bijvoorbeeld 232 dagen over om een patch uit te brengen voor bekende kwetsbaarheden, terwijl het algemene gemiddelde op 215 dagen ligt. Wat voor de duidelijkheid nog altijd lang is. Orange Cyberdefense berekent dat zelfs kritieke kwetsbaarheden gemiddeld pas zes maanden na het uitkomen van de patch worden verholpen. Niemand wil de band stilleggen om een update te installeren, dus.

Maar gek genoeg is de maaksector niet de slechtste van de klas als het aankomt op beveiligingsupdates. Dat zijn hospitalen, die er 491 dagen over doen. Vreemd dan, dat zij toch iets minder vaak slachtoffer worden van afpersing. Hier speelt mogelijk een andere factor, vermoedt Van der Walt: 'Criminele bendes gaan vaak bewust hospitalen ontzien. Dat is bij een bende als Conti bijvoorbeeld een policy. Maar wat we wel leren uit gelekte chatberichten is dat ze dan gaan discussiëren over of het slachtoffer dan een hospitaal is of niet. Bij meer opportunistische hacks is het immers niet altijd duidelijk voor de aanvallers waar ze terecht zijn gekomen'.

Geografie

Dat laatste zal vermoedelijk nog sterker gaan spelen nu de geografische focus van aanvallers begint te verschuiven. De voorbije jaren bevonden de meeste slachtoffers van aanvallen zich steevast in de Verenigde Staten: een gigantische economie waar iedereen Engels spreekt. 'Het aantal slachtoffers per land is meestal proportioneel met de grootte van de economie in dat land', zegt Van der Walt. 'Maar kijk je in de cijfers naar de uitzonderingen, dan zie je enkele economieën die relatief gezien minder vaak slachtoffer worden.' Een voorbeeld: Japan, dat een stevige economie heeft, en minder slachtoffers van cyberafpersing telt dan statistisch zou moeten. 'We denken dat het daarbij om een culturele barrière gaat', vertelt Van der Walt. 'Om iemand af te persen moet je weten wat dat bedrijf doet, je moet hun data begrijpen, uitvissen hoeveel ze waard zijn, met wie je moet praten. Als dat in een taal gebeurt die criminelen niet begrijpen, dan is dat een extra uitdaging voor de aanvallers.'

Maar dat is dus aan het veranderen. Tussen 2021 en 2022 zag Orange Cyberdefense een daling van het aantal slachtoffers in Noord-Amerika (-8% in de VS en -32% in Canada), tegenover een stijging in andere regio's, zoals Europa (+18%), het VK (+21%) en Oost-Azië (+44%). 'We denken dat dat komt omdat een aantal regio's minder aantrekkelijk is geworden', zegt Van der Walt. Hij verwijst daarmee naar de strijd die de Verenigde Staten hebben opgevoerd tegen cybermisdaad, met onder meer de implosie van de Conti-bende. 'Je ziet dat vooral gevestigde bendes zich meer gaan terugtrekken van de VS en hun bondgenoten. De VS en Canada worden minder vaak het doelwit, omdat daar de politieke druk groter is.'

English please

Criminelen gaan dus uitwijken naar doelwitten die wat moeilijker zijn. 'Zo'n culturele barrière is nog geen muur. We vermoeden dat bendes die nu wat terugdeinzen voor de VS gaan afzakken naar doelwitten die voor hen iets minder comfortabel zijn.' In de eerste plaats is dat het Verenigd Koninkrijk, maar de laatste maanden ook naar andere delen van Europa, zoals Frankrijk en Duitsland, en naar Latijns-Amerika.

Als die hypothese klopt, verwacht Van der Walt dat die trend nog verder zal uitdijen. 'Naarmate er meer politieke druk komt vanuit landen als de Verenigde Staten, Australië en nu ook vaker Frankrijk en hun bondgenoten, denk ik dat deze bendes ook minder geneigd gaan zijn om die landen aan te vallen. Bedrijven in die landen gaan dan minder aanvallen te verwerken krijgen; niet omdat ze beter beveiligd zijn, maar omdat hun politiediensten daar meer op inzetten.'

Malware is nog overal, maar de focus ervan verschuift. Dat moet blijken uit het lijvige Security Navigator-rapport van Orange Cyberdefense. Het rapport is gebaseerd op meer dan 99.000 onderzoeken van verschillende 'detection and response centers' naar mogelijke beveiligingsincidenten. Van die onderzoeken bleek zo'n 29 procent ook echt een securityprobleem te zijn. En zo'n beveiligingsprobleem kan allerlei oorzaken hebben. Orange Cyberdefense berekent dat het in 40 procent van de gevallen om malware gaat, naast onder meer anomalieën op het netwerk (19 procent) en op de systemen (12 procent). Kmo'sKijken we naar de slachtoffers, dan valt daar op dat kmo's (in dit rapport bedrijven met minder dan 500 werknemers) het vaakst met malware te maken krijgen. In de data van Orange Cyberdefense vormen ze 49 procent van de onderzochte incidenten rond malware. Al is dat niet meteen een teken dat aanvallers hen doelbewust gaan uitkiezen, zegt Charl van der Walt, head of Security Research bij Orange Cyberdefense aan Data News: 'Er zijn er gewoon veel meer van. Proportioneel gezien zijn grotere bedrijven vaker het doelwit. Maar de meeste aanvallers zijn opportunistisch en dan speelt de focus veel minder een rol. Er zijn meer kmo's dan grote bedrijven, dus zullen ze vaker het slachtoffer worden. Voor beleidsmakers is het echter belangrijk om te weten dat cyberafpersing heel veel slachtoffers maakt bij kleinere bedrijven. Dat is een systemisch risico.'Kijken we dan naar sectoren, dan is het vooral de maakindustrie die opvallend vaak slachtoffer wordt van aanvallen. Criminelen gaan hier overigens vooral de 'conventionele' IT-systemen infecteren, en niet de gespecialiseerde operationele technologie, zoals industriële controllers. 'Maar het kan wel een control platform zijn dat bijvoorbeeld nog op Windows 95 draait,' lacht Van der Walt. 'Bedrijven in manufacturing worden bovengemiddeld vaak slachtoffer van cyberafpersing. Een van de weinige mogelijke redenen die we daar zien, is dat ze trager zijn bij het installeren van patches dan veel andere sectoren.'Patch TuesdayBedrijven in de maakindustrie doen er gemiddeld bijvoorbeeld 232 dagen over om een patch uit te brengen voor bekende kwetsbaarheden, terwijl het algemene gemiddelde op 215 dagen ligt. Wat voor de duidelijkheid nog altijd lang is. Orange Cyberdefense berekent dat zelfs kritieke kwetsbaarheden gemiddeld pas zes maanden na het uitkomen van de patch worden verholpen. Niemand wil de band stilleggen om een update te installeren, dus.Maar gek genoeg is de maaksector niet de slechtste van de klas als het aankomt op beveiligingsupdates. Dat zijn hospitalen, die er 491 dagen over doen. Vreemd dan, dat zij toch iets minder vaak slachtoffer worden van afpersing. Hier speelt mogelijk een andere factor, vermoedt Van der Walt: 'Criminele bendes gaan vaak bewust hospitalen ontzien. Dat is bij een bende als Conti bijvoorbeeld een policy. Maar wat we wel leren uit gelekte chatberichten is dat ze dan gaan discussiëren over of het slachtoffer dan een hospitaal is of niet. Bij meer opportunistische hacks is het immers niet altijd duidelijk voor de aanvallers waar ze terecht zijn gekomen'.GeografieDat laatste zal vermoedelijk nog sterker gaan spelen nu de geografische focus van aanvallers begint te verschuiven. De voorbije jaren bevonden de meeste slachtoffers van aanvallen zich steevast in de Verenigde Staten: een gigantische economie waar iedereen Engels spreekt. 'Het aantal slachtoffers per land is meestal proportioneel met de grootte van de economie in dat land', zegt Van der Walt. 'Maar kijk je in de cijfers naar de uitzonderingen, dan zie je enkele economieën die relatief gezien minder vaak slachtoffer worden.' Een voorbeeld: Japan, dat een stevige economie heeft, en minder slachtoffers van cyberafpersing telt dan statistisch zou moeten. 'We denken dat het daarbij om een culturele barrière gaat', vertelt Van der Walt. 'Om iemand af te persen moet je weten wat dat bedrijf doet, je moet hun data begrijpen, uitvissen hoeveel ze waard zijn, met wie je moet praten. Als dat in een taal gebeurt die criminelen niet begrijpen, dan is dat een extra uitdaging voor de aanvallers.'Maar dat is dus aan het veranderen. Tussen 2021 en 2022 zag Orange Cyberdefense een daling van het aantal slachtoffers in Noord-Amerika (-8% in de VS en -32% in Canada), tegenover een stijging in andere regio's, zoals Europa (+18%), het VK (+21%) en Oost-Azië (+44%). 'We denken dat dat komt omdat een aantal regio's minder aantrekkelijk is geworden', zegt Van der Walt. Hij verwijst daarmee naar de strijd die de Verenigde Staten hebben opgevoerd tegen cybermisdaad, met onder meer de implosie van de Conti-bende. 'Je ziet dat vooral gevestigde bendes zich meer gaan terugtrekken van de VS en hun bondgenoten. De VS en Canada worden minder vaak het doelwit, omdat daar de politieke druk groter is.' English pleaseCriminelen gaan dus uitwijken naar doelwitten die wat moeilijker zijn. 'Zo'n culturele barrière is nog geen muur. We vermoeden dat bendes die nu wat terugdeinzen voor de VS gaan afzakken naar doelwitten die voor hen iets minder comfortabel zijn.' In de eerste plaats is dat het Verenigd Koninkrijk, maar de laatste maanden ook naar andere delen van Europa, zoals Frankrijk en Duitsland, en naar Latijns-Amerika. Als die hypothese klopt, verwacht Van der Walt dat die trend nog verder zal uitdijen. 'Naarmate er meer politieke druk komt vanuit landen als de Verenigde Staten, Australië en nu ook vaker Frankrijk en hun bondgenoten, denk ik dat deze bendes ook minder geneigd gaan zijn om die landen aan te vallen. Bedrijven in die landen gaan dan minder aanvallen te verwerken krijgen; niet omdat ze beter beveiligd zijn, maar omdat hun politiediensten daar meer op inzetten.'