FortiGuard Labs, de organisatie van Fortinet voor onderzoek en informatie over cyberbedreigingen, heeft een aanzienlijke toename in cybergevaren waargenomen in de aanloop naar de Olympische Spelen in Parijs. Volgens een nieuwe analyse van FortiGuard Labs op basis van informatie over bedreigingen verstrekt door FortiRecon, zijn de aankomende Olympische Spelen al meer dan een jaar het doelwit van een groeiend aantal cybercriminelen. Met behulp van openbaar beschikbare informatie en eigen analyse biedt rapport een uitgebreid overzicht van geplande aanvallen, zoals inbreuken door derden, cybercriminelen die gegevens willen bemachtigen, phishing en malware, waaronder ransomware.
Toename activiteiten op dark web gericht op Frankrijk
Met name vanaf de tweede helft van 2023 ziet het onderzoeksteam een toename in darknet-activiteit gericht op Frankrijk. Er is een groeiende beschikbaarheid gesignaleerd van geavanceerde tools en diensten die zijn ontworpen om datalekken te versnellen en persoonlijk identificeerbare informatie (PII) te verzamelen, zoals volledige namen, geboortedata, identificatienummers van de overheid, e-mailadressen, telefoonnummers, woonadressen en andere gegevens.
FortiGuard Labs ziet op het dark web ook een toename in advertenties voor phishingkits en exploit tools die speciaal zijn aangepast voor de Olympische Spelen in Parijs, evenals combo-lijsten (een verzameling gecompromitteerde gebruikersnamen en wachtwoorden die worden gebruikt voor geautomatiseerde brute-force aanvallen) bestaande uit Franse burgers. Ook is de verkoop van Franse databases met gevoelige persoonlijke informatie gesignaleerd, inclusief de verkoop van gestolen referenties en gecompromitteerde VPN-verbindingen om ongeautoriseerde toegang tot privé-netwerken mogelijk te maken.
Hacktivistische activiteit neemt toe
Aangezien Rusland en Wit-Rusland niet zijn uitgenodigd voor de Spelen van dit jaar, heeft het onderzoeksteam ook een piek gezien in hacktivistische activiteit door pro-Russische groepen zoals LulzSec, noname057(16), Cyber Army Russia Reborn, Cyber Dragon en Dragonforce, die specifiek aangeven dat ze de Olympische Spelen als doelwit hebben. Groepen uit andere landen en regio’s komen ook veel voor, waaronder Anonymous Sudan (Sudan), Gamesia Team (Indonesië), Turk Hack Team (Turkije) en Team Anon Force (India).
Het onderzoeksteam meldt ook een groei van coderingsdiensten voor het maken van phishing-websites en bijbehorende live panels, bulk SMS-diensten voor massacommunicatie en diensten voor het spoofen van telefoonnummers. Deze diensten kunnen phishing-aanvallen vergemakkelijken, verkeerde informatie verspreiden en de communicatie verstoren door zich voor te doen als vertrouwde bronnen. Dit kan tijdens de Spelen voor aanzienlijke operationele en beveiligingsproblemen zorgen.
Raccoon is meest actieve infostealer in Frankrijk
Malware voor het stelen van informatie is ontworpen om heimelijk de computer of het apparaat van een slachtoffer binnen te dringen en gevoelige informatie te verzamelen. Het gaat om inloggegevens, creditcardgegevens of andere persoonlijke gegevens. Het onderzoeksteam signaleert dat hackers verschillende soorten stealer-malware inzetten om systemen van gebruikers te infecteren en ongeautoriseerde toegang te verkrijgen. Cybercriminelen kunnen deze informatie verder gebruiken om ransomware-aanvallen uit te voeren, waardoor personen en organisaties aanzienlijke schade en financieel verlies lijden.
Uit gegevens blijkt dat Raccoon op dit moment de meest actieve infostealer in Frankrijk is, goed voor 59% van alle detecties. Raccoon is een effectieve en goedkope Malware-as-a-Service (MaaS) die wordt verkocht op dark web fora. Het steelt browserwachtwoorden, geschiedenis, cookies, creditcards, gebruikersnamen, wachtwoorden, cryptocurrency-portefeuilles en andere gevoelige gegevens. Het wordt gevolgd door Lumma (een andere MaaS op abonnementsbasis) met 21% en Vidar met 9%.
Typosquatting komt steeds vaker voor
Het FortiGuard Labs-team heeft een aanzienlijk aantal typosquatting-domeinen gedocumenteerd. Typosquatting profiteert van mogelijke typefouten, waardoor de oorspronkelijke spelling van een url door het toevoegen of verwijderen van cijfers, letters of punten net anders is. Deze URL’s hebben te maken met de Olympische Spelen en worden in phishing-campagnes gebruikt. Denk aan variaties op de naam oympics[.]com, olmpics[.]com, olimpics[.]com, en andere. Deze worden gecombineerd met gekloonde versies van de officiële ticketwebsite die je naar een betaalmethode leiden waar je geen ticket krijgt en je geld weg is. In samenwerking met Olympische partners heeft de Franse Gendarmerie Nationale 338 frauduleuze websites geïdentificeerd die beweren Olympische tickets te verkopen. Volgens hun gegevens zijn 51 sites al gesloten en hebben 140 sites een officieel bericht van de politie ontvangen.
Aanbevelingen voor volgers van de Olympische Spelen
- Pas op bij openbare netwerken: FortiGuard Labs raadt ten zeerste aan endpoint protection of EDR te installeren op alle apparaten, extra voorzichtig te zijn bij het verbinden met openbare draadloze netwerken en SASE-diensten te gebruiken om het verkeer te versleutelen.
- Bescherming van endpoints: Gebruik antivirus- en antimalwaresoftware op alle apparaten om phishingpogingen en malware-infecties te detecteren en te beperken. Voer alle software updates uit om bescherming te bieden tegen bekende en onbekende kwetsbaarheden.
- Gebruik multi-factor authenticatie en sterke wachtwoorden: Implementeer multi-factor authenticatie op alle systemen en kies voor een robuust wachtwoordbeleid af.
- Informeer jezelf: leer over verschillende cyberbeveiligingsbedreigingen. Richt je op het herkennen van phishingpogingen, het vermijden van verdachte links en het melden van potentiële bedreigingen aan de aangewezen autoriteiten.