ESET: de 10 grootste cyberaanvallen van 2022

Ze hebben zich straffeloos gericht op regeringen, ziekenhuizen, cryptocurrency-bedrijven en vele andere organisaties. Een datalek kost nu gemiddeld US$ 4,4 miljoen – en zolang cybercriminelen succesvol zijn zoals deze hieronder, verwachten we dat die kosten in 2023 nog zullen stijgen

Hier volgen 10 van de grootste cyberincidenten van 2022, of het nu gaat om de schade die ze hebben aangericht, het niveau van verfijning of hun geopolitieke gevolgen. Ze zijn niet in een welbepaalde volgorde gerangschikt, maar logischerwijze beginnen we met de kwaadaardige cyberoperaties die op Oekraïne gericht waren en die onmiddellijk aanleiding gaven tot bezorgdheid over de bredere gevolgen en de bijbehorende cyberrisico’s waarmee de hele wereld geconfronteerd werd.

1. Oekraïne onder (cyber)aanval: de kritieke infrastructuur van Oekraïne kwam opnieuw in het vizier van cybercriminelen. In het begin van de Russische invasie werkten ESET-onderzoekers nauw samen met CERT-UA na een aanval gericht op het elektriciteitsnet van het land en waarbij destructieve malware betrokken was die Sandworm probeerde in te zetten tegen hoogspannings-elektrische onderstations. Die malware – door ESET Industroyer2 genoemd naar de malware die de groep in 2016 gebruikte om de stroom in Oekraïne af te sluiten – die werd gebruikt in combinatie met een nieuwe versie van de destructieve CaddyWiper-variant wellicht om te voorkomen dat operatoren van het energiebedrijf de controle over de ICS-consoles terug zouden krijgen.
2. Meer wipers. CaddyWiper was niet de enige destructieve datawiper die vlak voor of in de eerste weken van de Russische invasie in Oekraïne werd ontdekt. Op 23 februari pikte de ESET-telemetrie HermeticWiper op, op honderden machines in verschillende Oekraïense organisaties. De volgende dag begon een tweede destructieve aanval waarbij gegevens werden gewist op een Oekraïens overheidsnetwerk met IsaacWiper.
3. Internet buiten dienst. Amper een uur voor de invasie verstoorde een grote cyberaanval op het commerciële satelliet-internetbedrijf Viasat, de breedbandinternetdienst voor duizenden mensen in Oekraïne en daarbuiten in Europa. Duizenden modems werden geblokkeerd. De aanval, waarbij een verkeerd geconfigureerd VPN-toestel werd gebruikt om toegang te krijgen tot het managementdeel van het satellietnetwerk, zou bedoeld zijn om de communicatiemogelijkheden van het Oekraïense commando tijdens de eerste uren van de invasie te blokkeren. De gevolgen waren voelbaar tot ver buiten de grenzen van Oekraïne.
4. Conti, in Costa Rica: Een belangrijke speler in de ondergrondse cybercriminaliteit was dit jaar de RaaS-groep (ransomware-as-a-service) Conti. Een van de meest gedurfde aanvallen was tegen het Zuid-Amerikaanse land Costa Rica, waar een nationale noodtoestand werd uitgeroepen nadat de regering een zware aanval als een daad van ‘cyberterrorisme’ had bestempeld. De groep is sindsdien verdwenen, hoewel de leden waarschijnlijk gewoon zijn overgestapt op andere projecten, zoals RaaS-outfits over het algemeen vanwege controle door wetshandhavers en regeringen.
5. Andere ransomware-spelers waren ook in 2022 actief. In september legde een CISA-waarschuwing uit dat aan Iran gelinkte cybercriminelen onder meer een Amerikaanse gemeentebestuur en een ruimtevaartbedrijf gecompromitteerd hebben door de beruchte Log4Shell-bug voor ransomware-campagnes te gebruiken. Dat is voor aan de staat verbonden organisaties helemaal niet gebruikelijk. Ook intrigerend was een compromis van de Amerikaanse regering dat in november eveneens aan Iran werd toegeschreven. Een naamloze organisatie van de Federal Civilian Executive Branch (FCEB) werd gehackt en cryptomining-malware werd geïnstalleerd.
6. Ronin Network is ontworpen door de Vietnamese blockchain-game-ontwikkelaar Sky Mavis om te functioneren als een Ethereum-zijketen voor zijn Axie Infinity-game. In maart bleek dat hackers erin geslaagd waren, gekaapte privésleutels te gebruiken om geldopnames te vervalsen voor een bedrag van 173.600 Ethereum (US $ 592 miljoen) en US $ 25,5 miljoen van de Ronin-brug, en dit in slechts twee transacties. De resulterende diefstal van $ 618 miljoen, tegen prijzen van maart, was de grootste ooit voor een cryptobedrijf. Sindsdien werd de beruchte Noord-Koreaanse groep Lazarus in verband gebracht met dit misdrijf. De kluizenaarsnatie werd in het verleden getraceerd voor diefstallen ter waarde van miljarden dollars die gebruikt werden om nucleaire en raketprogramma’s te financieren.
7. Lapsus $ verscheen in 2022 op het toneel, als een afpersingsgroep die spraakmakende gegevensdiefstallen gebruikte om geld af te dwingen van zijn zakelijke slachtoffers. Deze waren Microsoft, Samsung, Nvidia, Ubisoft, Okta en Vodafone. Een van hun vele methoden is omkoping van medewerkers in bedrijven en bij hun onderaannemers. Hoewel de groep een tijdje relatief stil was, dook het op het einde van het jaar weer op na het hacken van Grand Theft Auto-ontwikkelaar Rockstar Games. Meerdere vermeende leden van de groep werden in het VK en Brazilië gearresteerd.
8. Het Internationale Rode Kruis (ICRC): in januari meldde het ICRC (the ICRC reported) een grote inbreuk waarbij de persoonlijke gegevens van meer dan 515.000 “zeer kwetsbare” slachtoffers in gevaar waren gebracht. Gestolen van een Zwitserse contractant, bevatten de gegevens details van personen die van hun families gescheiden waren als gevolg van conflicten, migratie en rampen, vermiste personen en hun families, en mensen in detentie. Het werd vervolgens toegeschreven aan een niet nader genoemde natiestaat en vond plaats toen een niet-gepatcht systeem werd gebruikt.
9. Uber: in 2016 werd de carpooling-gigant gehackt en details over 57 miljoen gebruikers werden toen gestolen. In september 2022 werd gemeld dat een hacker, mogelijk een lid van Lapsus$, e-mail- en cloudsystemen, codeopslagplaatsen, een intern Slack-account en HackerOne-tickets had gecompromitteerd. De hacker doelde op een externe contractant van Uber en had hoogstwaarschijnlijk het bedrijfswachtwoord van het dark web gehaald.
10. Medibank: de vier miljoen klanten van de Australische ziekteverzekeraar zagen hun persoonlijke gegevens gehackt door ransomware-criminelen tijdens een aanval die het bedrijf uiteindelijk 35 miljoen dollar zou kunnen kosten. Aangenomen wordt dat zij die hiervoor verantwoordelijk zijn, gelinkt zijn aan de beruchte RaaS (ransomware-as-a-service) outfit REvil (ook bekend als Sodinokibi) en met gecompromitteerde bevoorrechte inloggegevens de initiële toegang kregen. De slachtoffers worden nu geconfronteerd met een mogelijk spervuur ​​van nieuwe pogingen tot identiteitsfraude.

Wat 2023 ook brengt, zouden sommige van deze 10 grote aanvallen voor iedereen een nuttig voorbeeld moeten zijn, ook voor CISO’s. Het verbeteren en in orde brengen van cyberbeveiligingsprocessen en -operaties, het geven van training in cyberbeveiligingsbewustzijn aan alle werknemers en het samenwerken met gerenommeerde beveiligingsleveranciers wiens oplossingen bestand zijn tegen de complexe methoden van de cybercriminelen, zijn de oplossingen die zeker moeten geïmplementeerd worden.

• Lees ook: ESET Threat Report T1 2022, ESET APT Activity Report T2 2022 en Cybersecurity Trends 2023: Securing our hybrid lives.