In de algemene media hebben ze het vaak over hackers of cybercriminelen als uitvoerders. Maar dat is te algemeen. The European Union Agency for Cybersecurity (Enisa) definieert vijf actoren.
1. State-nexus threat groups
Deze groepen opereren van staatswege. In deze context heeft men het vaak over advanced persistent threats of apt’s. Ze zijn doorgaans goed gefinancierd en uitgerust en bedreven. Hun doel is voornamelijk spionage en het genereren van inkomsten. Soms zijn ze gestuurd door het militaire apparaat, door intelligence of door state control apparatus van hun land.
Staatsbendes besteden vaak veel tijd aan het onderzoeken van hun doelwitten om zwakke plekken en toegangspunten te identificeren. Hoewel de technieken die ze gebruiken niet altijd even nieuw zijn, stellen hun motivatie en planning hen in staat om grootschalige, geavanceerde, doelgerichte en langdurige operaties uit te voeren. ‘State-nexus threat groups richten zich niet alleen op andere staten. Ze kunnen ook andere organisaties als doelwit nemen voor hun gevoelige gegevens. Of ze kunnen operaties uitvoeren om financiering voor hun land te verkrijgen’, stellen de onderzoekers van ENISA.
2. Cybercriminals
Bij deze groep staat financieel gewin voorop. Hun aanvallen zijn daarom vaak opportunistisch en willekeurig. Ze richten zich op de gegevens of infrastructuur die de grootste impact heeft op de activiteiten van de slachtoffers. Ze kunnen rechtstreeks van slachtoffers stelen, hun slachtoffer afpersen of de gestolen informatie te gelde maken. Cybercriminelen maken vaak gebruik van social engineering. ‘De laatste jaren zijn cybercriminelen zich danig gaan professionaliseren en ook steeds nauwer gaan samenwerken, waardoor ze een factor worden om rekening mee te houden’, aldus de onderzoekers.
3. Hackers-for-hire
Hackers-for-hire werken in opdracht voor cybercriminelen en ze leveren ook diensten aan state-nexus threat groups. Deze actoren verlagen vaak ook de drempel om toegang te krijgen tot de criminele markt, zoals bijvoorbeeld met ransomware-as-a-service (raas). Ze spelen ook een sleutelrol in de markt die gedijt op de verkoop van toegang tot environments (de zogenaamde initial access brokers of iab), hetzij omdat de dreigingsactor hiertoe opdracht heeft gekregen, hetzij om opportunistische redenen. Deze groep draagt heel erg bij aan de professionalisering en aan het ‘businessmodel’ van de cybercrimemarkt.
4. Hacktivists
Hacktivisten beschikken vaak over minder middelen dan de bovenstaande drie. Maar ze zijn vaak erg gemotiveerd. Hun doelen zijn vaak ontwrichting: ze hacken om een vorm van politieke of sociale verandering te bewerkstelligen. ‘Hacktivistengroepen zijn echt divers en variëren sterk in vaardigheden en capaciteiten’, klinkt het bij ENISA. Bovendien worden ze soms ingezet door staatsbelangengroepen voor onder meer information manipulation en interference operations.
5. Insiders
Insiders blijven voor bovenstaande actoren de meest efficiënte manier om toegang te krijgen tot de interne processen van een organisatie. En als zodanig dragen zij soms (bewust of onbewust) bij tot initiële toegang tot de omgeving van een slachtoffer.
Dit artikel verscheen eerder (in het Engels) in het Cybersec Europe e-Magazine #3.
