Cybercriminelen richten zich steeds vaker op het gijzelen van rekenkracht. Via trojans kapen ze vaak ongezien de servercapaciteit van grote bedrijfsnetwerken en gebruiken dat computervermogen voor het delven van cryptomunten. Voor criminelen is die vorm van malware vaak lucratiever dan ransomware waarbij systemen, data en bestanden worden gegijzeld voor losgeld.
Dat stelt Stefaan Hinderyckx, hoofd van de Europese tak van securityleverancier NTT in een toelichting op het ‘Global Threat Intelligence Report 2021‘.
Uit die cijfers over 2020 blijkt dat 41 procent van alle door NTT gedetecteerde malware bestond uit ‘coin miners’. XMRig is de meest voorkomende variant (82 procent) en wordt ingezet om cryptomunt Monero te delven.
Coin miners waren goed voor 74 procent van de malware in Europa, het Midden-Oosten en Afrika (EMEA). In de VS omvat deze soort 23 procent van alle malware. In de Benelux bestond in 2020 89 procent van de gedetecteerde malware uit coin miners tegenover 87 procent in Groot-Brittannië en Ierland en 65 procent in Duitsland.
Hoe werkt cryptomining?
Bij illegale cryptomining, ook wel cryptojacking genoemd, verbergt de malware zich op netwerkservers en kaapt het de rekenkracht van dat apparaat om cryptovaluta (online-munten) te delven. Delven is het proces dat systemen gebruiken om transacties op de blockchain te bevestigen. Elke keer dat een nieuwe transactie wordt bevestigd, wordt een ander blok aangemaakt en vervolgens ontstaat een ketting van blokken naar de gedecentraliseerde administratie van die transacties op andere systemen (de blockchain).
Om een cryptocurrency te delven, moet een computer verbonden zijn met het blockchain-netwerk van die valuta en met duizenden andere systemen concurreren om cryptocurrency te verdienen. Hoe sneller de hardware en hoe groter de verwerkingskracht, hoe sneller het kan proberen om de valuta te delven en hoe waarschijnlijker het is dat er meer geld verdiend wordt door die inspanningen. Webcriminelen zijn dus constant op zoek om zo krachtig mogelijke systemen te kapen om de rekenkracht van grote netwerken van bedrijven te misbruiken. In een speciale paper gaat NTT daar verder op in.
Productie-sector ligt onder vuur
Gekeken naar de verschillende sectoren, ziet NTT dat de financiële sector, de zorg en de productiesector (manufacturing) het meest onder vuur liggen van webcriminelen. Daarin valt de toename van de aanvallen op producenten op. In 2019 was zeven procent van de aanvallen gericht op die groep in 2020 was dat 22 procent. Het securitybedrijf mat dus drie keer meer aanvallen op die sector dan het jaar ervoor. Vooral ransomware is er zeer lucratief voor cybercriminelen, duidt Hinderyckx.
Volgens de Belg vormt die productiesector een vruchtbare bodem voor cybercriminelen doordat de ict-omgeving en de productie-omgeving (it en ot) er de laatste jaren meer en meer zijn versmolten. ‘Ot (operationele technologie red.) is steeds vaker gekoppeld aan internet en de vele protocollen in die productieomgeving maken het een ultiem ‘target’ voor criminelen.’
Webschurken die echt toe willen slaan, nemen door de toegenomen verbindingen tussen de systemen van producenten en hun toeleveranciers, die hele leveranciersketting mee in de aanvallen. Zo kunnen ze zowel de producent als de toeleveranciers lamleggen en een hogere losgeld eisen. Als voorbeeld noemt de NTT-topman de auto-industrie waarin fabrikanten altijd een groot aantal toeleveranciers hebben. Via aanvallen op de vpn dringen de criminelen vaak diep door in de supply chain.
Corona
Ook in de zorg nam het aantal aanvallen toe, van zeven procent van alle aanvallen in 2019 naar zeventien procent in 2020. Volgens Hinderyckx zijn cybercriminelen gelukkig niet zo kwaadwillende dat ze zich veelvuldig op ziekenhuizen met Covid-patiënten stortten. Al zijn er wel enkele voorbeelden waar dit gebeurde, zoals in het Tsjechische Brno waar criminelen een corona-afdeling probeerde lam te leggen.
In het coronatijdperk waren de meeste gedetecteerde aanvallen in de zorg gericht op vaccinmakers en -ontwikkelaars. NTT zag onder statelijke actoren veel interesse voor aanvallen op pharmabedrijven. Zo is bijvoorbeeld AstraZeneca meerdere keren aangevallen. De criminelen zouden het gemunt hebben op klinische studies over de effectiviteit van het medicijn en documenten waarin het intellectueel eigendom is vastgelegd. Dat intellectueel eigendom zou dan doorverkocht worden op de zwarte markt.
Minder aanvallen op overheden
Het aandeel aanvallen op de financiële sector steeg van vijftien naar 23 procent. Volgens NTT vonden er opvallend minder aanvallen op de overheid plaats. Waarschijnlijk is de waarde voor bestanden met id- en persoonsgegevens, zoals burgerservicenummers in Nederland, behoorlijk gedaald. Ook denkt de NTT-voorman dat overheden hun backups hebben verbeterd. Hij constateert cynisch dat er de laatste jaren zoveel hacks zijn geweest waarbij id-bestanden zijn buitgemaakt, dat dit mogelijk voor een daling heeft gezorgd van de prijs die criminelen voor zo’n bestand kunnen vragen.
Hinderyckx ziet binnen ransomware een belangrijke trend. Naast het versleutelen van systemen en data en het vragen van losgeld, snuffelen de criminelen ook steeds meer in die data naar privacygevoelige gegevens. Vervolgens dreigen ze die data openbaar te maken als niet wordt betaald. Daarmee voeren ze extra de druk op om losgeld te krijgen.
