Met AI en quantum computing aan de horizon is cybercriminaliteit winstgevender dan drugshandel

Vergeet de cybercrimineel die in een kelder woont, een zwarte hoodie draagt ​​en koude pizza eet. Medewerkers van digitale criminaliteit zijn carrièrejagers: echte kantoren met alle voordelen van de grote namen in Silicon Valley: pingpongtafels om op te ontspannen, bedden op kantoor voor powernaps, betaalde bedrijfsdiners in restaurants met twee Michelinsterren en alle andere tools om de beste techneuten voor zich te winnen.

Dit is de operationele realiteit van de meest georganiseerde groepen ter wereld die zich bezighouden met ransomware (software die gebruikt wordt om de gegevens van een bedrijf te blokkeren en vervolgens losgeld te vragen om deze weer vrij te geven). Tijdens de volledig onderdompelende dag over cybercriminaliteit, georganiseerd in Madrid door Kaspersky Horizon, hebben onderzoekers en experts uit de sector een ongemakkelijke waarheid aan het licht gebracht: cybercriminelen hebben inmiddels bedrijfsimperiums opgebouwd die efficiënter zijn dan veel traditionele multinationals. Wat naar voren komt uit de analyse van data verzameld door ethische hackers die de communicatie van deze groepen hebben geïnfiltreerd, is een crimineel ecosysteem dat miljarden verdient en opereert met een bestuurlijke precisie waar elke MBA-student jaloers op zou zijn.

De rekeningen van de multinationale cybercriminaliteitsbedrijven

Een voorbeeld: de structuur van de Conti-groep, tot in detail geanalyseerd door ethisch hacker Clément Domingo, toont een organigram dat lijkt op dat van een bedrijf: een "kernteam", verantwoordelijk voor personeelszaken en financiën, teamleiders die de dagelijkse gang van zaken controleren, operationele structuren georganiseerd naar functie. De salarissen zijn concurrerend: van 1.800 tot 2.200 dollar per week voor een gemiddelde operator, met resultaatafhankelijke bonussen.

Bedrijfscijfers: "Conti" heeft alleen al in 2021 tussen de 100 en 185 miljoen dollar verdiend, terwijl Lockbit in 18 maanden tijd een verlies van 500 miljoen dollar heeft geleden. De wereldwijde ransomwaremarkt, officieel geschat op 1,1 miljard dollar in 2023 (volgens schattingen van Chainalysis en rapporten van de FBI en Europol), moet volgens Domingo met acht of negen worden vermenigvuldigd om het werkelijke bedrag te krijgen. Het Duitse MediaMarkt zou 240 miljoen dollar losgeld hebben betaald aan Hive om zijn data terug te krijgen, het Taiwanese Acer 100 miljoen voor Revil, het Britse Royal Mail nog eens 80 miljoen en de Taiwanese chipfabrikant Tsmc 70 miljoen, beide getroffen door LockBit.

De kunst van digitaal onderhandelen

Hoe bepalen deze moderne digitale piraten de hoogte van het losgeld? Met een methode die vergelijkbaar is met die van veel adviesbureaus. Criminele bendes analyseren nauwgezet de balansen van slachtoffers met behulp van business intelligence-tools en berekenen verzoeken die schommelen tussen 1 en 10% van de jaaromzet. De bedragen variëren van 250 miljoen dollar voor grote bedrijven tot achtduizend dollar voor zeer kleine bedrijven. Het 'werkelijke' totaalbedrag wordt vastgesteld na een onderhandelingsfase. "Het is niet langer geldig om te zeggen dat je geen risico loopt omdat je te klein of niet belangrijk genoeg bent", zegt Domingo. "Als de ransomware-economie een natie was", zegt hij, "zou het de derde zijn na de Verenigde Staten en China."

Volgens Marc Rivero, hoofd onderzoek bij Kaspersky GReAT, bevestigt dit een alarmerende trend: "AI verlaagt de drempel en versnelt de ontwikkeling van malware, waardoor zelfs minder ervaren aanvallers snel geavanceerde, grootschalige malware kunnen ontwikkelen." Cybercriminelen gebruiken chatGPT en andere AI-tools voor een breed scala aan doeleinden, van het automatiseren van aanvallen tot het creëren van deepfakes voor oplichting.

Het echte probleem, zo leggen experts uit aan ItalianTech, is eigenlijk een ander: kunstmatige intelligentie doorbreekt de barrière die tot gisteren de "kinderen" scheidde van ervaren aanvallers. Daardoor zijn de eersten net zo gevaarlijk als de laatsten. Nu trekt deze "democratisering" van criminaliteit juist de allerjongsten aan, omdat het gerucht gaat dat elke tiener die goed met een computer overweg kan een potentiële miljonair is: Dajjalx, die op 17-jarige leeftijd in Frankrijk werd gearresteerd, had 1,3 miljoen dollar aan cryptovaluta verzameld, terwijl IntelBroker, een 25-jarige Brit, een van de grootste illegale cybermarkten online beheerde.

Daarom daalt de gemiddelde leeftijd van cybercriminelen dramatisch, met gevolgen die ook de micro-organisaties treffen die ontstaan ​​binnen een steeds groter crimineel ecosysteem.

De malware van de toekomst is er al

FunkSec vertegenwoordigt de nieuwste evolutie van deze dreiging: een ransomware die onlangs door Kaspersky is ontdekt en die duidelijke tekenen vertoont van AI-ondersteunde ontwikkeling. De code bevat generieke opmerkingen en andere technische elementen van het type dat wordt gegenereerd door geautomatiseerde coderingssystemen, en veel technische inconsistenties die kenmerkend zijn voor LLM's ( Large Language Models) .

Het is geen virus, maar eerder "ransomware", oftewel kwaadaardige software die de computers van een bedrijf of particulier infiltreert en alle aanwezige informatie versleutelt en deze effectief blokkeert met een wachtwoord dat alleen de aanvallers kennen. Hier komt de "losgeldmetafoor" om de hoek kijken: de gegevens worden "gekidnapt", zelfs als ze niet fysiek worden verplaatst, en om ze terug te krijgen, dat wil zeggen, om ze te ontgrendelen met een wachtwoord, is losgeld nodig. Grote organisaties die in de val van kwaadwillenden zijn getrapt, hebben tot honderden miljoenen dollars betaald (meestal in cryptovaluta, die moeilijk te traceren zijn) om de operationele gegevens die nodig zijn voor hun activiteiten te herstellen.

Er is echter een belangrijke verandering gaande. De nieuwe strategie met FunkSec verandert de dynamiek van cybercriminaliteit, omdat het voor aanvallers "gemakkelijk" wordt om ransomware te gebruiken. Producenten verkopen het voor minder dan tienduizend dollar aan andere cybercriminelen, op een echte zwarte markt voor deze tools, om grootschalige aanvallen uit te voeren. Het is een aanpak die kwantiteit boven kwaliteit stelt.

Dit model, gebaseerd op kunstmatige intelligentie om de aanval uit te voeren en te personaliseren, vermenigvuldigt het aantal pogingen tot datadiefstal en activeert een complete illegale markt van "onderhandelaars" die de gehackte bedrijven overnemen om losgeld te eisen, en vervolgens van andere kwaadwillenden die het verkregen geld witwassen of de "gestolen" informatie van de gecompromitteerde computers verkopen. Het is een compleet ecosysteem van planetaire omvang, georganiseerd als een reeks cybercrimebedrijven die met elkaar communiceren, data uitwisselen, bitcoins witwassen en informatie doorverkopen.

De aanval met quantumcomputers

Bedrijven beschermen zich meestal tegen dit soort aanvallen door hun gegevens te versleutelen: zelfs als ze "gevangen" worden, zijn ze op die manier in ieder geval niet toegankelijk. Maar deze strategie loopt het risico niet meer te werken. Sergey Lozhkin, eveneens van Kaspersky GReAT, legt uit: "Het grootste risico is momenteel dat versleutelde gegevens die op lange termijn waardevol zijn, in de toekomst ontsleuteld kunnen worden."

Volgens gegevens van Kaspersky passen criminele bendes de strategie "vandaag stelen, morgen gebruiken" toe. Dat wil zeggen dat ze vandaag versleutelde gegevens verzamelen om deze over 5 tot 10 jaar te ontcijferen. Dan zijn er quantumcomputers beschikbaar die de digitale sloten van de meest geavanceerde cryptografie gemakkelijk kunnen "breken".

En op de markt, legt Domingo uit, is er een ware wedloop gaande tussen de ontwikkeling van ransomware die bestand is tegen decodering met quantumcomputers en het gebruik van quantumcomputers om huidige encryptiesystemen te kraken. De beveiligingsbeslissingen die vandaag worden genomen, zullen de veerkracht van de digitale infrastructuur voor de komende decennia bepalen.

De nieuwe geografie van criminaliteit

De transformatie van de cybercriminele markt heeft zeer ingrijpende gevolgen: "In 2025 is het lucratiever om cybercrimineel te zijn dan drugs te verkopen", aldus Domingo, "omdat je meer verdient en er vanuit juridisch oogpunt veel minder risico's zijn."

Bij traditionele drugscriminaliteit worden wapens en geweld gebruikt, wat leidt tot persoonlijk letsel en vaak tot de dood van vele mensen: er zijn tientallen mogelijke verzwarende factoren, en de internationale coördinatie tussen politiediensten voor misdrijven gepleegd in de "fysieke wereld" is efficiënt. Het is moeilijk om ermee weg te komen. Dit geldt niet voor cybercriminaliteit. Criminelen stappen daarom steeds sneller over op cybercriminaliteit: ze riskeren veel minder en verdienen veel meer. Dit heeft directe gevolgen voor iedereen: van banken die transacties moeten beschermen tot blockchains die kwetsbaar zijn voor kwantumaanvallen.

Een probleem dat er in de eerste plaats toe leidt dat bedrijven de risico's van de digitale transitie begrijpen. Liliana Acosta, een Colombiaanse onderzoeker die het bedrijf "Thinker Soul" oprichtte en expert is in de ethiek van kunstmatige intelligentie, legt uit dat het noodzakelijk is om de nieuwe technologieën te begrijpen om de impact ervan echt te begrijpen. "Mensen", zegt ze, "begrijpen de betekenis en kracht van kunstmatige intelligentie niet. Als we bedrijven uitleggen wat het werkelijk inhoudt, schrikken ze." Quantum computing vormt ook een bedreiging voor cryptovaluta: het ECDSA-algoritme van Bitcoin zou gecompromitteerd kunnen raken, wat scenario's van vervalsing van digitale handtekeningen en manipulatie van transactiegeschiedenis mogelijk maakt.

Volgens de Spaanse Pilar Troncoso van QCentroid is er een cruciaal aspect verbonden aan kwantumrisico's: "Het probleem is niet alleen Bitcoin, maar ook het risico dat vliegtuigen uit de lucht vallen." Het uitvallen van beveiligingssystemen en de synergie tussen kunstmatige intelligentie, versterkt door het gebruik van kwantumcomputersystemen, zou elke vorm van digitale beveiliging kunnen vernietigen, inclusief die van kritieke infrastructuren. Van energiecentrales tot logistieke systemen en aandrijfsystemen voor treinen, vliegtuigen en schepen.

Het antwoord? Het is zogenaamde "post-kwantumcryptografie". De race is al begonnen, maar de overgang naar het beveiligen van alle systemen zal jaren van voorbereiding vergen. Overheden, bedrijven en aanbieders van kritieke infrastructuur moeten zich nu al aanpassen, voordat systemische kwetsbaarheden onomkeerbaar worden, legt Troncoso uit. Zonder internationale coördinatie en tijdige infrastructuurupgrades zijn de risico's voor financiële, overheids- en bedrijfsgegevens potentieel kritiek. De cybersecurity van de toekomst speelt zich vandaag af, in de strategische keuzes en investeringen die de digitale veerkracht van het komende decennium zullen bepalen.