Kaspersky's voorspellingen voor het geavanceerde dreigingslandschap

Kaspersky-onderzoekers voorspellen dat APT-actoren nieuwe exploits zullen introduceren op mobiele, wearable en slimme apparaten en deze zullen gebruiken om botnets te vormen, aanvalsmethoden voor de supply chain te verfijnen en AI zullen gebruiken voor effectievere spear-phishing. Deze ontwikkelingen zullen naar verwachting politiek gemotiveerde aanvallen en cybercriminaliteit intensiveren. 

AI-gestuurde imitaties, de opkomst van creatieve exploits voor mobiel en nieuwe botnets  

Opkomende AI-tools zullen de productie van spear-phishingberichten stroomlijnen en zelfs de imitatie van specifieke personen mogelijk maken. Aanvallers kunnen creatieve automatiseringsmethoden bedenken door online gegevens te verzamelen en deze naar LLM's te sturen. Zo kunnen ze brieven maken in de stijl van een bekende van het slachtoffer.  

‘Operation Triangulation’ markeert een baanbrekend jaar voor mobiele exploits en kan de aanzet geven tot meer onderzoek naar APT's die aanvallen uitvoeren op mobiele, wearables en slimme apparaten. We zullen waarschijnlijk zien dat dreigingsactoren hun surveillance-inspanningen uitbreiden en zich richten op consumentenapparaten via verschillende kwetsbaarheden en ‘silent’ exploit delivery methoden. Hieronder vallen ‘zero-click’-aanvallen via messengers, ‘one-click’-aanvallen via sms- of messaging-apps en interceptie van het netwerkverkeer. De bescherming van persoonlijke en zakelijke apparaten wordt steeds belangrijker.

Het uitbuiten van kwetsbaarheden in veelgebruikte software en apparaten is nog een punt waarop we waakzaam moeten zijn. De ontdekking van kwetsbaarheden met een hoge en kritieke ernst wordt soms beperkt onderzocht en opgelost met vertraging, waardoor mogelijk de weg wordt vrijgemaakt voor nieuwe, grootschalige en onopvallende botnets die in staat zijn gerichte aanvallen uit te voeren.  

Door de staat gesponsorde cyberaanvallen nemen toe en hacktivisme als het nieuwe normaal  

Het aantal door de staat gesteunde cyberaanvallen kan het komende jaar toenemen door de oplopende geopolitieke spanningen. Deze aanvallen zullen waarschijnlijk leiden tot diefstal of versleuteling van gegevens, vernietiging van IT-infrastructuur, langdurige spionage en cybersabotage.  

Een andere opvallende trend is hacktivisme, dat steeds vaker voorkomt als onderdeel van geopolitieke conflicten. Deze spanningen wijzen op een waarschijnlijke toename van hacktivistische activiteiten, zowel destructief als gericht op het verspreiden van valse informatie. Dit leidt tot onnodige onderzoeken en daaropvolgende alert vermoeidheid bij SOC-analisten en cybersecurityonderzoekers.  

Andere voorspellingen van geavanceerde dreigingen voor 2024 zijn onder andere: 

• Supply chain-aanvallen als een service: toegang tot bulkaankopen door operators 
  Aanvallen op de suply chain die gericht zijn op kleinere bedrijven om grote bedrijven binnen te dringen: de Okta-inbreuken in 2022-2023 benadrukken de omvang van deze dreiging. Motieven voor dergelijke aanvallen kunnen variëren van financieel gewin tot spionage. In 2024 zijn er mogelijk nieuwe ontwikkelingen in de activiteiten van dark web-toegangsmarkten met betrekking tot supply chains, waardoor efficiëntere en grootschaligere aanvallen mogelijk worden. 
• Opkomst van meer groepen die hack-for-hire diensten aanbieden 
  Hack-for-hire groepen zijn in opkomst en leveren diensten voor datadiefstal aan klanten variërend van privédetectives tot zakelijke rivalen. Er wordt verwacht dat deze trend het komende jaar zal toenemen. 
• Kernel rootkits zijn weer populair  
  Ondanks moderne securitymaatregelen zoals Kernel Mode Code Signing, PatchGuard, HVCI (Hypervisor-Protected Code Integrity) worden barrières voor het uitvoeren van code op kernelniveau omzeild door APT's en cybercriminele groepen. Windows kernelaanvallen nemen toe, mogelijk gemaakt door WHCP-misbruik. Daarnaast groeit  de ondergrondse markt voor EV-certificaten en gestolen code signing-certificaten. Bedreigingsactoren maken in hun tactieken steeds vaker gebruik van BYOVD (Bring Your Own Vulnerable Driver). 
• Managed File Transfer (MFT)-systemen gebruikt voor geavanceerde aanvallen 
  Managed File Transfer (MFT)-systemen hebben te maken met escalerende cyberdreigingen, zoals blijkt uit de inbraken in 2023 bij MOVEit en GoAnywhere. Deze trend zal verder doorzetten, waarbij cyberaanvallers uit zijn op financieel gewin en operationele verstoringen. De ingewikkelde MFT-architectuur, geïntegreerd in bredere netwerken, herbergt zwakke plekken in de beveiliging. Organisaties moeten robuuste cybersecuritymaatregelen implementeren, waaronder Data Loss Prevention en encryptie, en cyberbewustzijn stimuleren om MFT-systemen te versterken tegen evoluerende bedreigingen.  

"In 2023 ontsnapte de opmerkelijke toename in de beschikbaarheid van AI-tools niet aan de aandacht van geavanceerde kwaadwillende actoren die zich bezighielden met uitgebreide en zeer geraffineerde campagnes. We verwachten echter dat de aankomende trends verder gaan dan AI-implicaties, waaronder nieuwe methoden voor het uitvoeren van aanvallen in de supply chain, de opkomst van hack-for-hire diensten, nieuwe exploits voor consumentenapparaten en nog veel meer. Ons doel is om defenders te voorzien van geavanceerde informatie over bedreigingen die de nieuwste ontwikkelingen op dat gebied voor blijft. Zo kunnen ze  cyberaanvallen effectiever afweren", zegt Igor Kuznetsov, directeur van het Global Research and Analysis Team (GReAT) bij Kaspersky.  

De APT-voorspellingen zijn opgesteld met dank aan de dreigingsinlichtingendiensten van Kaspersky die over de hele wereld worden gebruikt. Lees het volledige rapport op Securelist.