Chester Wisniewski, Sophos: 'Gelukkig zijn cybercriminelen vooral lui'

Hoewel ransomware nog veruit bovenaan staat als meest gebruikte aanvalssoort in het derde Active Adversary-rapport van Sophos, vindt Wisniewski andere ontwikkelingen veel interessanter. Bijvoorbeeld de sterke groei van data extortion (data afpersing). "Misschien zien we de komende jaren het begin van het einde van ransomware als belangrijkste soort cyberaanval. Steeds vaker wordt data ook gestolen en wordt gedreigd met openbaarmaking ervan. Aanvallers beseffen dat dit eigenlijk al genoeg is om geld mee te verdienen en dat encryptie van systemen en data daarnaast niet meer nodig is." Verder is er een lichte groei voor aan aanval waarbij data-exfiltratie plaatsvindt. Hierbij wordt ook data gestolen, maar is het doel niet bekend.

Gemakkelijkste manier

Ook tonen de afgelopen drie Active Adversary-rapporten van Sophos een sterke groei van de inzet van gecompromitteerde credentials versus het exploiteren van kwetsbaarheden als manier om een netwerk binnen te komen. Toch ziet Wizniewski hier geen trend in. "Criminelen zoeken gewoon de makkelijkste toegangswijze. Een kwetsbaarheid is het meest eenvoudig: je kunt snel snel groot aantallen bedrijven, zoals eerder dit jaar nog gebeurde met Log4J."

Als er geen eenvoudig te gebruiken kwetsbaarheid is, dan is een gestolen wachtwoord het makkelijkst: relatief eenvoudig te kopen om zo vervolgens lateraal een syteem in te komen. "Want cybercriminaliteit is geen James Bond-film. Hackers zijn meestal lui, willen snel geld verdienen en zoeken de eenvoudigste manier om dit te realiseren." En, zo verwacht Wisniewski, met de nieuwe kwetsbaarheid Citrix Bleed, die in oktober bekend werd, zijn zeker 15.000 bedrijven makkelijk aan te vallen. "Dus zul je zien dat het gebruik van kwetsbaarheden weer enorm toeneemt het komende half jaar."

Groei supply chain compromise

Wel voorziet Wisniewski een structurele geleidelijke groei van het nu nog relatief kleine aantal supply chain compromise-aanvallen, waarbij via bijvoorbeeld een cloud-aanbieder of MSP een groot aantal klanten tegelijk aangevallen kan worden. "Op zich is dat een goed teken. We worden beter in het beschermen van afzonderlijke organisaties. Bijna al het internetverkeer is tegenwoordig versleuteld, Multifactorauthenticatie wordt steeds normaler." Dus zoeken cybercriminelen nieuwe wegen of geitenpaadjes.

Zeker bij een supply chain compromise is de snelheid van een aanval belangrijk - de tijd tussen het moment van een eerste inbreuk tot het moment waarop de active directory gehackt wordt. "Vanaf dat moment geldt: 'all bets are off'. En die tijdsduur bedraagt nog maar 16 uur." 

Daarnaast wordt er veruit bovengemiddeld 'ingebroken' buiten lokale kantooruren. "Soms wordt gezegd: 'het zijn vast de Russen, als er buiten kantooruren een hack plaatsvindt, omdat het dan wel 'kantoortijd' is voor hen. Maar als we kijken naar lokale kantooruren, dan zie je een grote piek tussen zes uur 's avonds en 8 uur 's morgens, en in het weekeinde."

De reden hiervoor is simpel, meent Wisniewski: het merendeel van de organisaties heeft niet de menskracht om 24 uur te monitoren. Het is een belangrijke reden ook waarom zo'n 42 procent van alle organisaties in 2024 van plan is om een vorm van managed detection & response (MDR) af te nemen van of via een IT-aanbieder. Alleen zo kan het merendeel van de organisaties 24/7 monitoring en reactie op aanvallen realiseren. Een wereldwijd actieve aanbieder zoals Sophos kan daarbij de slagkracht bieden die een eindklant of een MSP niet heeft, zal Dave Mareels, senior director product management van Sophos, later op de dag vertellen.

Sterke reductie dwell time

Nog een belangrijke ontwikkeling: de sterke reductie van de dwell time sinds 2020. Dwell time staat daarbij voor het moment waarop een netwerk succesvol gehackt wordt en het moment waarop de inbreuk gedetecteerd wordt. Die is gedaald van een mediane 18 dagen in 2020 naar 5 dagen nu. Dat klinkt heel positief, maar het betekent volgens Wisniewski vooral dat aanvallers steeds sneller slagen in het doel van hun aanval.

"Circa de helft van alle aanvallen heeft tegenwoordig een dwell time van 5 dagen of minder. De rest nog meer. Bij ransomware en netwerkinbreuken is het ongeveer 50/50. Bij data-afpersing is het veelal langer dan 5 dagen. Logisch, want de aanvallers moeten eerst zoeken naar welke data het meest interessant is om voor afpersing te gebruiken, zoals intellectueel eigendom of persoonlijke gegevens. Gemiddeld genomen geldt: hoe meer potentieel winstgevend een slachtoffer is, hoe korter de dwell time."

Lastiger maken

Dan resteert de vraag: wat kan een security-aanbieder zoals Sophos doen om het de cybercrimineel lastiger te maken? "In zijn algemeenheid: we moeten mee 'frictie' veroorzaken. Meer verkeersdrempels opwerpen zodat een aanvaller meer tijd nodig heeft. Dat geeft ons de ruimte om te kunnen detecteren en reageren. Verder moeten we nog meer proberen om onbeschermde devices te vinden, want dat proberen cybercriminelen ook. Dat kan een connected lift zijn die een onderhoudsmelding doet, of een frisdrankautomaat die meldt geen cola meer te hebben."

En, stelt Wisniewski: blijf onderzoeken, blijf leren. "Nogmaals: cybercriminelen zijn lui. Als ze een playbook hebben ontwikkeld dat werkt, dan zullen ze dat blijven gebruiken. Wij, maar ook jullie - (dit tegen alle partners in de zaal) - moeten die playbooks leren kennen, zodat we sneller gericht kunnen reageren als we bijvoorbeeld merken dat het een typische Black Basta-aanval is. En als het toch mis gaat: zorg als organisatie dat je zelf een playbook hebt, al is het maar het nummer van de politie om te bellen."

Kijk volgende week ook naar de video van Sophos Day 2023.