ENISA Cyberdreigingenrapport 2024: de belangrijkste bevindingen
Het ENISA Threat Landscape Rapport 2024, dat cyberdreigingen binnen de EU onderzoekt, brengt zorgwekkende trends aan het licht. Cyberaanvallen nemen in snel tempo toe, gedreven door geopolitieke onrust en nieuwe technieken van hackers. De voortdurende oorlog in Oekraïne, verkiezingen en andere maatschappelijke spanningen vormen een ideaal klimaat voor cybercriminelen om toe te slaan. In deze blog bespreken we de belangrijkste inzichten uit het rapport.
Belangrijkste Cyberdreigingen in 2024
Het ENISA Threat Landscape Rapport belicht diverse dreigingen die in 2024 domineren. Twee daarvan springen eruit: ransomware en DDoS-aanvallen. Deze dreigingen zijn samen verantwoordelijk voor meer dan de helft van de cyberincidenten die in de EU zijn gemeld en vormen een directe bedreiging voor vrijwel elke sector.
Ransomware
Ransomware blijft een van de grootste cyberdreigingen en zorgt nog altijd voor voortdurende incidenten. Een opkomende nieuwe methode is de zogenaamde multi-extortion-aanval, waarbij data niet alleen worden versleuteld, maar ook gestolen. De daders dreigen met openbaarmaking als het losgeld niet wordt betaald.
Hoewel veel organisaties weerbaarder zijn geworden door verbeterde beveiligingsmaatregelen en regelmatige back-ups, worden er per kwartaal nog altijd zo’n 1000 ransomwareclaims geregistreerd. Ondanks een daling in het aantal losgeldbetalingen, kiezen sommige organisaties – vooral wanneer het om kritieke data gaat – er nog steeds voor om te betalen om verdere schade te voorkomen.
DDoS-aanvallen
DDoS-aanvallen blijven een grote dreiging en zijn in het afgelopen jaar sterk toegenomen, mede door hacktivisme en geopolitieke spanningen. Hacktivisme zijn acties van hackers die zich inzetten voor politieke of maatschappelijke doelen. Met DDoS-aanvallen kunnen bijvoorbeeld websites of systemen platgelegd worden om zo hun boodschap kracht bij te zetten.
DDoS-aanvallen zijn daarnaast toegankelijker geworden door ‘DDoS-for-Hire’-diensten. Hiermee kunnen zelfs mensen zonder technische kennis grote aanvallen uitvoeren. Deze diensten maken vaak gebruik van botnets—netwerken van geïnfecteerde apparaten—waardoor aanvallen op enorme schaal mogelijk zijn.
Cyberdreigingsactoren: wie zitten achter de aanvallen?
ENISA onderscheidt vier hoofdtypen dreigingsactoren, elk met specifieke motieven en methoden. Voor organisaties is het belangrijk deze actoren te begrijpen om passende beveiligingsmaatregelen te nemen en zich beter te beschermen.
- Staatsgerelateerde actoren: Dit zijn hackers die werken met steun van overheden en zich meestal richten op spionage en het verstoren van kritieke infrastructuren. Voor de meeste bedrijven zijn deze actoren geen directe bedreiging, tenzij ze een belangrijke schakel zijn in een keten die van strategisch belang is.
- Cybercriminelen: Dit is de grootste groep en hun doel is simpel: financieel gewin. Ze gebruiken technieken zoals ransomware en phishing om geld af te persen of gevoelige informatie te verkopen. Deze actoren kunnen elk bedrijf treffen, van kleine ondernemingen tot grote corporaties, en hun methodes worden steeds professioneler en beter georganiseerd.
- Private Sector Offensive Actors (PSOA’s): Dit zijn commerciële bedrijven die cybertools ontwikkelen en verkopen, vaak aan overheden of bedrijven. Hoewel hun technologie bedoeld kan zijn voor veiligheid of spionage, kunnen deze tools ook in de verkeerde handen vallen met de kans dat kwaadwillenden toegang krijgen tot geavanceerde cybertechnieken.
- Hacktivisten: Hacktivisten zijn hackers die zich laten leiden door politieke of sociale idealen. Hun aanvallen zijn meestal gericht op publieke aandacht en het verspreiden van een boodschap. Ze richten zich vaak op zichtbare organisaties, zoals overheidsinstellingen of bedrijven die in het nieuws staan.
Social Engineering: de menselijke factor in cyberdreiging
Social engineering speelt in op menselijke kwetsbaarheden en is effectief omdat het aanvallers de kans geeft gevoelige informatie te verkrijgen zonder dat technische systemen worden aangevallen. Phishing blijft veruit de meest voorkomende vorm van social engineering.
Veelvoorkomende Social Engineering-aanvallen
- Phishing: Misleidende e-mails die betrouwbaar lijken, maar vaak links bevatten naar valse websites of verzoeken om gevoelige gegevens in te voeren. Phishing blijft een van de grootste oorzaken van cyberincidenten, verantwoordelijk voor maar liefst 73% van de social engineering-gerelateerde datalekken.
- Smishing en Vishing: Varianten van phishing, waarbij smishing via sms wordt uitgevoerd en vishing via telefoongesprekken. Bij vishing kunnen aanvallers AI-gegenereerde stemmen gebruiken om zich voor te doen als een collega of manager, waardoor slachtoffers eerder geneigd zijn te geloven dat het gesprek authentiek is.
- Business Email Compromise (BEC): BEC valt onder phishing-technieken, maar door de gerichte en complexe aanpak wordt het als een aparte categorie binnen social engineering beschouwd. Bij BEC overtuigt de aanvaller een medewerker, vaak op de financiële afdeling, om een dringende betaling te verrichten. Deze aanvallen zijn gevaarlijk omdat aanvallers bestaande e-mailketens of echte accounts kunnen gebruiken en veroorzaakte gemiddeld 50.000 USD aan schade per incident in 2023.
Menselijke zwakheden en het belang van bewustwording
Social engineering maakt slim gebruik van menselijke neigingen, zoals goedgelovigheid en vertrouwen in autoriteiten. Phishing is niet alleen een van de meest voorkomende vormen van cyberaanvallen, maar ook een van de duurste: phishing-gerelateerde datalekken kosten bedrijven gemiddeld bijna 4,76 miljoen USD.
Omdat social engineering afhankelijk is van menselijke fouten, zijn bewustwordingstrainingen cruciaal voor elke organisatie. Deze trainingen helpen medewerkers om verdachte berichten en verzoeken sneller te herkennen en hier juist op te reageren, wat de kans op succesvolle aanvallen aanzienlijk verkleint.
Ontdek onze security awareness training hier.
Bedreigingen tegen data
ENISA benadrukt dat bedreigingen tegen data een steeds grotere impact hebben op organisaties wereldwijd. Bedreigingen tegen data omvatten zowel doelbewuste aanvallen (data breaches) als onbedoelde blootstellingen (data leaks) die vaak door menselijke fouten ontstaan.
Trends in bedreigingen tegen data
- Versnelling van data-exfiltratie: Aanvallers zijn steeds sneller in staat om data te stelen; in bijna de helft van de gevallen wordt data binnen een dag gestolen, waardoor organisaties zeer beperkt tijd hebben om in te grijpen.
- Complexiteit van Cloud en Multi-Cloud: De cloud bevat veel gevoelige data, waarbij multi-cloudomgevingen complexiteit en extra beveiligingsrisico’s introduceren. De noodzaak om cloudbeveiliging te versterken, is hoger dan ooit.
- Kosten van data-inbreuken: Het gemiddelde kostenplaatje voor een data-inbreuk steeg in 2023 naar USD 4,45 miljoen per incident. Met name bij gebruik van complexe cloudomgevingen lopen de kosten op door de grotere hoeveelheid betrokken data en moeilijkheidsgraad van herstel.
Supply Chain-aanvallen
Supply chain-aanvallen vormen een ernstig risico omdat ze niet direct een bedrijf zelf aanvallen, maar de software en diensten van leveranciers of partners. Hierdoor kunnen kwaadwillenden kwetsbaarheden in de leveringsketen misbruiken om toegang te krijgen tot een bedrijf, zelfs als dat bedrijf zelf goed beveiligd is.
Een bekend incident betrof het toevoegen van kwaadaardige code in een open-sourceproject, waardoor alle gebruikers van die software risico liepen op inbraak. Dergelijke aanvallen vereisen vaak geduld en planning, en worden vaak uitgevoerd door goed georganiseerde groepen. ENISA benadrukt dan ook de noodzaak voor organisaties om niet alleen hun eigen systemen te beveiligen, maar ook alert te zijn op de veiligheid van hun gehele leveringsketen.
AI in de handen van cybercriminelen
Cybercriminelen gebruiken AI om aanvallen slimmer en doelgerichter te maken. Waar phishing-e-mails vroeger vol taal- en opmaakfouten zaten, kunnen ze nu met tools zoals FraudGPT zeer overtuigende, persoonlijke berichten genereren. Ook malware kan met behulp van AI moeilijker detecteerbaar gemaakt worden.
FraudGPT en Deepfake-technologieën
AI-tools zoals FraudGPT en deepfake-technologie maken het mogelijk om niet alleen overtuigende teksten, maar ook nep-audio en -video’s te creëren. Een recent voorbeeld is een multinational die 25 miljoen dollar verloor door een deepfake-video waarin de CFO werd nagebootst, wat medewerkers ertoe bracht grote bedragen over te maken. Deze AI-gedreven technieken maken social engineering-aanvallen nog lastiger te herkennen en vergroten het risico voor bedrijven aanzienlijk.
AI-aangedreven Malware en Malware-as-a-Service (MaaS)
Naast social engineering gebruiken cybercriminelen AI-tools om geavanceerde malware te ontwikkelen. Met AI kunnen ze malware automatisch aanpassen, waardoor deze lastiger te detecteren is voor beveiligingssystemen. Dit maakt aanvallen gerichter en moeilijker op te sporen. Met Malware-as-a-Service (MaaS) worden malwarepakketten en zelfs technische ondersteuning verkocht aan andere aanvallers, waardoor toegang tot geavanceerde cybertechnieken eenvoudiger wordt.
Informatie Manipulatie en Interferentie
Volgens ENISA is Informatie Manipulatie en Interferentie (FIMI) een groeiende uitdaging. Hoewel deze acties vaak niet direct illegaal zijn, kunnen ze politieke processen, waarden en publieke opinie negatief beïnvloeden. FIMI-activiteiten worden opzettelijk en gecoördineerd uitgevoerd, zowel door overheden als door andere groepen. Volgens het ENISA-rapport vormt FIMI een serieuze cybersecurity-dreiging, omdat het de betrouwbaarheid, integriteit en authenticiteit van informatie aantast.
Trends en gebeurtenissen in FIMI
- Gebruik van informatie in conflicten: Informatie manipulatie speelt een grote rol in Rusland’s oorlog tegen Oekraïne, waarbij campagnes zich richten op het verzwakken van de steun onder Europese bondgenoten door misleidende informatie te verspreiden.
- Manipulatie van verkiezingen: 2024 wordt wel het “verkiezingsjaar” genoemd, met verkiezingen in meer dan 80 landen. Door manipulatie proberen kwaadwillende actoren invloed uit te oefenen op de publieke opinie en het vertrouwen in het verkiezingsproces te ondermijnen.
- Inauthentieke digitale aanwezigheid: Misleidende informatie verspreidt zich steeds vaker via valse accounts op sociale media en nepwebsites. Dit fenomeen wordt bovendien versterkt door de inzet van AI.
Kerntechnieken en tactieken
ENISA identificeert verschillende technieken waarmee FIMI-acteurs de informatieomgeving beïnvloeden. De drie meest voorkomende technieken zijn:
- Ontwikkeling van content: Door teksten, beelden en andere media te creëren of verwerven, verspreiden actoren gemanipuleerde inhoud.
- Opzetten van sociale assets: Het creëren van netwerken van valse accounts en organisaties om desinformatie te versterken.
- Microtargeting: Specifieke doelgroepen worden met gerichte berichten aangesproken, vaak via advertenties, om de impact te vergroten.
Praktische aanbevelingen van ENISA voor bedrijven
ENISA sluit het rapport af met adviezen om cyberweerbaarheid te versterken en de impact van aanvallen te minimaliseren. Enkele van de belangrijkste aanbevelingen:
- Beveiligde Back-up strategie: Zorg voor regelmatig geteste back-ups om bij dataverlies snel te herstellen.
- Incident Response Plan: Een goed voorbereid incident response plan helpt om schade te beperken. Oefen regelmatig en update het plan.
- Beveiliging van externe infrastructuur: Regelmatige kwetsbaarheidsscans en tijdige updates zijn essentieel voor systemen die met het internet verbonden zijn.
- Multi-Factor Authenticatie (MFA): MFA en sterke wachtwoorden versterken de toegangsbeveiliging.
- Bewustwording en training: Bewustwordingstrainingen helpen medewerkers verdachte berichten te herkennen en verminderen het risico op succesvolle aanvallen.
- Beheer van externe leveranciers: Veel bedrijven maken gebruik van externe leveranciers die toegang hebben tot hun systemen. Strikt toezicht en regelmatige audits zorgen voor beveiliging bij leveranciers.
- Geavanceerde e-mail- en netwerkbeveiliging: Extra beveiligingslagen tegen verdachte e-mails en netwerkverkeer minimaliseren de kans dat dreigingen binnendringen.
Met deze concrete aanbevelingen biedt ENISA bedrijven een praktische leidraad om hun cyberbeveiliging te versterken en beter bestand te zijn tegen huidige en toekomstige cyberdreigingen.
Maak jouw organisatie weerbaar tegen cyberdreigingen
Het ENISA Threat Landscape Rapport 2024 onderstreept dat cyberdreigingen blijven evolueren en steeds complexer worden. Wil je weten hoe jouw organisatie zich beter kan beveiligen? Bij Aster begrijpen we het belang van een sterke cybersecurity. We spelen voortdurend in op nieuwe dreigingen en bieden beveiligingsoplossingen die met jouw organisatie meegroeien. Samen kunnen we een krachtige security-strategie ontwikkelen die jouw organisatie beschermt tegen huidige én toekomstige uitdagingen. Neem contact met ons op om de mogelijkheden te verkennen of ontdek onze security management dienst hier.
Over ENISA
De European Union Agency for Cybersecurity (ENISA) ondersteunt EU-lidstaten en bedrijven bij het versterken van hun cyberveiligheid. Met jaarlijks rapporten zoals het Threat Landscape Rapport geeft ENISA diepgaand inzicht in opkomende dreigingen en trends in cybersecurity. Voor meer details en aanbevelingen kunt je het volledige rapport hier lezen.