Tijdens een internationale rondetafel over cybersecurity-dreigingen komt een verontrustend beeld naar voren: staten en criminele organisaties werken steeds meer samen, terwijl desinformatie zich ontwikkelt tot een wapen dat hele samenlevingen kan ontwrichten.
Cyberdreigingen raken allang niet meer alleen grote bedrijven of overheden. Van ziekenhuizen tot gemeenten en scholen: de digitale dreiging is overal. En met de opkomst van AI, geopolitieke spanningen en ransomware als verdienmodel, wordt het steeds belangrijker om zicht te krijgen op verborgen digitale dreigingen.
Tijdens een recente rondetafel met internationale threat researchers kwam een opmerkelijke consensus naar voren: de grootste dreiging voor onze samenleving komt mogelijk niet van ransomware of phishing-aanvallen, maar van systematische desinformatie: het verspreiden van opzettelijk foutieve of misleidende informatie met als doel schade te berokkenen, te manipuleren of te misleiden.
“Ransomware is uiteindelijk een heel slechte dag voor één bedrijf of één overheidsorganisatie,” stelt Robert McArdle, directeur van het Forward Looking Threat Research Team bij Trend Micro. “Maar misinformatie en desinformatie zijn buitengewoon effectief in het vernietigen en verscheuren van samenlevingen.” Misinformatie verschilt licht van desinformatie. Er wordt wel onjuiste of misleidende informatie verspreid, maar bij misinformatie is er geen opzet in het spel.
Polarisatie als wapen
McArdle legt uit hoe deze tactiek precies werkt. “Je zoekt een onderwerp waar mensen fifty-fifty over denken – immigratie, abortus, wat dan ook dat polariseert. Vervolgens creëer je twee verschillende verhalen: één dat heel pro is, en één dat heel contra is. Dan push je de bevolking die je target naar beide extremen.”
Het doel is niet om mensen naar één kant te duwen, maar om een kloof te creëren waarbij mensen in het midden niet meer met elkaar kunnen communiceren. “De samenleving valt uit elkaar,” aldus McArdle. “En dat wordt alleen maar sterker met AI, omdat kunstmatige intelligentie exceptioneel goed is in het klinken als een mens.”
Deze tactiek is niet nieuw, maar de schaal waarop het nu gebeurt is ongekend. Sudeep Singh, hoofd APT Research bij Zscaler, noemt het voorbeeld van Ghostwriter, een groep die wordt gelinkt aan Wit-Rusland. “Ze nemen accounts over van overheidsdiplomaten en politici, krijgen toegang tot hun sociale media-accounts, en beginnen vanuit die accounts een bepaald narratief te pushen – voornamelijk anti-NAVO berichten.”
De activiteiten van Ghostwriter lopen parallel met belangrijke gebeurtenissen. “We hadden net de NAVO-top een paar dagen geleden. Hun activiteit neemt dan toe, en het gaat er vooral om de perceptie van mensen massaal te beïnvloeden. Als je het Twitter-account van een invloedrijke persoon hebt overgenomen, kun je echt de perceptie van mensen op grote schaal beïnvloeden.”
Grens tussen staat en criminaliteit vervaagt
Wat de situatie extra complex maakt, is dat de grenzen tussen staatssponsorschap en criminele activiteiten steeds meer vervagen. “Diverse landen doen dit op verschillende manieren,” legt McArdle uit. “In de Russischtalige wereld zie je een van de meest ontwikkelde cybercriminele ondergronden met fantastische tools en zeer goed geschreven malware. Natuurlijk gaat een staat daar gebruik van maken – waarom zou je je eigen versie bouwen als je het letterlijk kunt kopen van iemand die het heeft gebouwd en waarschijnlijk ook nog eens een beetje patriottisch is?”
Singh ziet deze ontwikkeling met name bij Noord-Koreaanse groepen. “We hebben een verschuiving gezien sinds cryptocurrencies meer aandacht kregen. Bepaalde staatsgesponsorde dreigingsactoren uit Noord-Korea hebben hun aandacht verlegd naar financiële diefstal zoals cryptocurrency-heists. De Noord-Koreaanse economie is geïsoleerd, dus ze moeten een manier vinden om hun regime te financieren. Een van de beste manieren is het aanvallen van crypto omdat het je dat niveau van anonimiteit geeft en ze kunnen dan hun fondsen terugsluizen naar Noord-Korea.”
Allan Carchrie, Senior Solutions Engineer bij Darktrace, voegt toe dat mensen die door de politie zijn opgepakt voor illegale cyberactiviteiten soms de optie krijgen om hun vaardigheden in dienst van de staat te stellen. “Een beetje zoals Mission Impossible – werk voor ons en je misdaden worden weggepoetst. Tot op zekere hoogte, ja.”
Ransomware evolueert naar triple extortion
Ondertussen blijft ransomware een hardnekkige dreiging, maar ook hier zien experts een evolutie. Carchrie beschrijft hoe ransomware is geëvolueerd van een probleem dat vooral individuen trof naar een bedrijfsbedreiging met meerdere lagen. “Ransomware is geëvolueerd van simpelweg bestanden versleutelen naar wat we ’triple extortion’ noemen: versleuteling, data-diefstal én dreigen met het melden van datalekken aan toezichthouders.”
De financiële impact verklaart waarom criminelen zich steeds meer op organisaties richten in plaats van individuen. “We zien een duidelijke verschuiving naar het aanvallen van bedrijven,” legt Singh uit. “Vanuit monetair oogpunt kunnen deze dreigingsactoren veel meer geld verdienen door hoge losgelden te eisen. Bedrijven zijn ook eerder geneigd te betalen dan consumenten, die misschien gewoon opgeven. Voor bedrijven gaat het niet alleen om geld, maar ook om hun reputatie.”
Naar een holistische beveiligingsstrategie
Deze verschuiving naar bedrijfsgerichte aanvallen vraagt om een andere benadering van cybersecurity, benadrukken de experts. McArdle maakt een belangrijk punt over victim blaming: “Cybercrime is een vreemd misdrijf waarbij we eigenlijk veel slachtoffers de schuld geven. Alsof iemand op straat wordt aangevallen, geven we ook niet de schuld aan degene die over straat liep. Maar bij cybercrime zeggen we: ‘Waarom klikte je op die link? Je had het beter moeten weten.'” Hij vergelijkt het met voetbal: “Het is alsof je verwacht dat een gewoon persoon een penalty van Ronaldo of Messi tegenhoudt. Dat is gewoon verschrikkelijk moeilijk.”
De strijd tegen cyberdreigingen vereist intensieve internationale samenwerking. Singh beschrijft hoe Zscaler werkt met Computer Emergency Response Teams (CERTs) wereldwijd: “Omdat we het wereldwijde dreigingslandschap monitoren, doen we proactieve meldingen aan die teams.” Deze samenwerking levert concrete resultaten op.
“Soms wisselen we zelfs threat intelligence uit omdat we misschien niet altijd de volledige context van de aanval hebben. We missen misschien een deel van de aanvalsketen. Maar door samen te werken met de CERT-teams kunnen we het volledige end-to-end plaatje krijgen.” De samenwerking gaat verder dan informatiedeling. “We werken ook samen met enkele wetshandhavingsinstanties en dit heeft eigenlijk geleid tot het neerhalen van infrastructuur van enkele dreigingsactoren.”
Two-factor authenticatie onder druk
Een zorgwekkende ontwikkeling die tijdens de rondetafel naar voren kwam, is dat traditionele beveiligingsmaatregelen zoals two-factor authenticatie steeds vaker worden omzeild. Singh legt uit: “De afgelopen een of twee jaar hebben we bijna 70 tot 80 procent van phishing-aanvallen gezien die two-factor authenticatie kunnen omzeilen.”
Hij beschrijft een nieuwe klasse aanvallen: “Die noemen we AITM: Adversary in the Middle. Deze aanvallen zijn in staat om, naast het stelen van je gebruikersnaam, wachtwoord en e-mailadres, ook je sessie-cookies te stelen. En met die toegang kunnen ze eigenlijk altijd bij je account, zelfs zonder het wachtwoord.”
SMS-gebaseerde authenticatie blijkt bijzonder kwetsbaar. “Er zijn dreigingsactoren zoals Scattered Spider die je telecomprovider zouden social engineeren en hen zouden overtuigen om een aanval uit te voeren die een SIM-swap aanval wordt genoemd, waarbij ze je telefoonnummer zouden overzetten naar een SIM-kaart die zij controleren.”
Investeren in weerbaarheid
De boodschap van de experts is helder: cybersecurity is geen puur technisch probleem meer, maar een maatschappelijke uitdaging die vraagt om bewustzijn, samenwerking en investeringen in zowel technologie als menselijke weerbaarheid.
Singh benadrukt het belang van investeringen in de strijd tegen misinformatie: “We leven in een tijdperk waar het niet alleen om fysieke oorlogvoering gaat, maar ook om informatieoorlogvoering. Zelfs voordat een conflict begint, als je kijkt naar recente conflicten en je trackt de online activiteit die leidt tot het conflict, zou je zien dat de online spanning er al was. Er werd veel informatie of eigenlijk misinformatie verspreid.”
De strijd tegen cyberdreigingen vraagt om een nieuwe mentaliteit – een waarbij technische verdediging hand in hand gaat met maatschappelijke weerbaarheid tegen manipulatie en desinformatie. Want zoals McArdle concludeert: in een wereld waar de grenzen tussen digitale en fysieke oorlogvoering vervagen, is voorbereid zijn op cyberaanvallen net zo belangrijk als voorbereid zijn op traditionele dreigingen.