Maandelijks gemiddeld 1.700 posts op dark web met bedrijfsgegevens
Het Kaspersky Digital Footprint Intelligence team heeft de afgelopen twee jaar bijna 40.000 dark web posts ontdekt over de verkoop van interne bedrijfsinformatie. Deze berichten - gemaakt door cybercriminelen - worden gebruikt om gegevens te kopen, te verkopen of te distribueren die via cyberaanvallen zijn gestolen van verschillende bedrijven. Het aantal berichten waarin toegang tot bedrijfsinfrastructuur wordt aangeboden is met 16 procent gestegen ten opzichte van het voorgaande jaar. Wereldwijd werd een derde van de onderzochte bedrijven genoemd in berichten op het dark web die verband hielden met de verkoop van gegevens of toegang.
Kaspersky Digital Footprint Intelligence-experts observeerden gemiddeld 1.731 dark web posts per maand over de verkoop, aankoop en distributie van interne bedrijfsdatabases en documenten, met een totaal van bijna 40.000 berichten tussen januari 2022 en november 2023. Onder de gemonitorde bronnen vallen dark web fora, blogs en ook zogenaamde schaduw Telegram kanalen.
Distributie van dark web posts met betrekking tot de verkoop, aankoop of distributie van bedrijfsgegevens, januari 2022 - november 2023
Een andere categorie gegevens die beschikbaar is op het dark web is toegang tot bedrijfsinfrastructuren. Cybercriminelen kunnen hierdoor reeds bestaande toegang tot een bedrijf kopen waardoor aanvallers hun inspanningen kunnen stroomlijnen. Volgens het onderzoek van Kaspersky hebben meer dan 6.000 dark web-berichten in januari 2022-november 2023 reclame gemaakt voor dergelijke aanbiedingen. Op dit moment bieden cybercriminelen steeds meer toegang aan, waarbij het gemiddelde aantal overeenkomstige maandelijkse berichten een stijging van 16% laat zien, van 246 in 2022 naar 286 in 2023. Hoewel het aantal berichten misschien niet hoog lijkt, doet dat niets af aan de potentiële omvang van het probleem. Met de dreiging van aanvallen op de supply chain in het komende jaar, kunnen zelfs inbreuken op kleinere bedrijven escaleren en wereldwijd gevolgen hebben voor talloze personen en bedrijven.
"Niet elk bericht op het dark web bevat nieuwe en unieke informatie. Sommige aanbiedingen kunnen zich herhalen; als een kwaadwillende bijvoorbeeld snel gegevens wil verkopen, kan hij deze op verschillende ondergrondse fora plaatsen om een groter publiek van potentiële criminele kopers te bereiken. Bovendien kunnen bepaalde databases worden gecombineerd en als nieuw worden gepresenteerd. Er zijn bijvoorbeeld 'combolists' - databases waarin informatie uit verschillende eerder gelekte databases wordt samengevoegd, zoals wachtwoorden voor een specifiek e-mailadres," legt Anna Pavlovskaya, expert bij Kaspersky Digital Footprint Intelligence, uit.
Een voorbeeld van een 'Combolist'-aanbod
Om de beveiliging van bedrijven wereldwijd verder te verbeteren, volgden Kaspersky Digital Footprint Intelligence-experts de vermeldingen van 700 willekeurige bedrijven met betrekking tot gecompromitteerde bedrijfsgegevens in 2022, waarbij ze informatie verschaften over cyberbedreigingen afkomstig van het dark web.
Uit de bevindingen bleek dat 233 organisaties - een op de drie bedrijven - werden genoemd in berichten op het dark web die verband hielden met de illegale uitwisseling van gegevens. Deze verwijzingen hadden specifiek betrekking op onderwerpen als datalekken, gestolen toegang tot infrastructuur of gecompromitteerde accounts.