Wouter Hoeffnagel - 24 februari 2024

Onderzoek: Cybercriminelen werken steeds geraffineerder

Snelheid speelt een steeds grotere rol bij cyberaanvallen. Ook gaan cybercriminelen steeds geraffineerder te werk. Kwetsbaarheden in software vormen daarbij een groot probleem.

Onderzoek: Cybercriminelen werken steeds geraffineerder image

Dit blijkt uit het 2024 Unit 42 Incident Response Report, opgesteld door onderzoeksgroep van Palo Alto Networks Unit 42. Het rapport brengt nieuwste tactieken van threat actors in kaart en helpt organisaties bij het verdedigen van hun aanvalsoppervlak. Het rapport laat zien dat de tactieken in 2023 geavanceerder werden, maar ook minder selectief zijn als het gaat om het stelen van specifieke gegevens.

Snelheid is belangrijk

De tijd tussen de eerste compromittering en de exfiltratie van gegevens wordt steeds korter; het gaat nu soms om uren in plaats van dagen. Aanvallers hebben nu nog maar 2 dagen nodig om gevoelige informatie te stelen als ze eenmaal bij een organisatie zijn binnengedrongen, vergeleken met 9 dagen in 2021.

Kwetsbaarheden in software zijn nog steeds een issue en voeren de lijst aan van manieren waarop aanvallers binnenkomen. Bij de grootste aanvalscampagne in 2023 zijn softwarefouten dan ook actief uitbuit.

Aanvallers werken steeds geraffineerder

Ze zijn beter georganiseerd, met gespecialiseerde teams voor verschillende onderdelen van de aanval. Ze hebben meer kennis en kunnen IT-, cloud- en beveiligingstools gebruiken als aanvalswapens. En ze zijn efficiënter en gebruiken processen en playbooks om hun doelen sneller te bereiken.

In 2023 was de groep die we Muddled Libra noemen verreweg de schadelijkste threat actor. Het is een criminele groep die zich richt op financieel gewin. Ze zijn ook een van de meest agressieve threat actors in het huidige landschap. Het tegengaan van hun aanvallen is een uitdaging voor verdedigers van zowel kleine als grote organisaties.

Initiële toegang verandert

Er is een duidelijke strategiewijziging onder geavanceerde threat actors, die wordt geïllustreerd door de veranderende manieren waarop ze aanvankelijk toegang krijgen:

  • Grootschalige uitbuiting van op het internet gerichte kwetsbaarheden was in 2023 in 39% van de gevallen de initiële toegangsvector, vergeleken met 28% van de gevallen in 2022.
  • Tegelijkertijd groeit het aantal eerder gecompromitteerde referenties als initiële toegangsvector van 12,90% naar 20,50%. Markten voor gestolen referenties blijven levendig, ondanks gecoördineerde inspanningen van wetshandhaving en de privésector om deze te onderscheppen.
  • Phishing neemt af. Waar phishing in 2022 bij een derde van de eerste toegang bij incidenten het geval is, is dit in 2023 gedaald naar slechts 17%. Deze daling duidt op een mogelijke de-prioritering van phishing naarmate cybercriminelen zich aanpassen aan meer technologisch geavanceerde - en misschien efficiëntere - infiltratiemethoden.

Dit zijn strategische veranderingen, vooral voor geavanceerdere threat actors die overstappen van traditionele en interactieve phishing-campagnes naar minder opvallende en mogelijk geautomatiseerde methoden om zwakke plekken in systemen en reeds bestaande credential lekken uit te buiten. Deze trend suggereert dat verdedigers nu prioriteit moeten geven aan het opsporen en verhelpen van softwarekwetsbaarheden en het beveiligen van inloggegevensbeheerprocessen om deze toenemende bedreigingen te beperken.

Minder selectief bij datadiefstal

Bij een overweldigende meerderheid van de incidenten (93%) ging het om ongedifferentieerde gegevensdiefstal, waarbij gerichte gegevensdiefstal minder aantrekkelijk leek voor de aanvallers. Dit is een stijging ten opzichte van 2022, toen het in 81% van de gevallen ging om diefstal van niet-gerichte gegevens. Deze stijging wijst op een groeiende trend onder cybercriminelen die een breder net lijken uit te werpen en alle gegevens verzamelen waar ze toegang toe hebben in plaats van moeite te doen om specifieke datasets te lokaliseren en te extraheren.

Dit heeft meerdere gevolgen voor cybersecurity:

  • Traditionele verdedigingsmechanismen die gericht zijn op het beschermen van zeer gevoelige gegevens moeten worden aangevuld met strategieën die ervan uitgaan dat alle gegevens gevaar kunnen lopen.
  • De mentaliteit van een "grijp alles" aanvaller onderstreept het belang van vroegtijdige en robuuste detectiemogelijkheden die grootschalige exfiltratiepogingen kunnen herkennen, vaak het eerste duidelijke teken van een inbreuk.
  • Deze verschuiving in het gedrag van cyberdreigingen vereist een snellere reactie op detecties en waarschuwingen en een voortdurende herbeoordeling van beveiligingsmaatregelen, omdat alleen al de hoeveelheid gecompromitteerde gegevens de impactanalyse en het meldingsproces bemoeilijkt.

Gezien deze veranderende bedreigingsdynamiek is het voor verdedigers essentieel om bestaande beveiligingsstrategieën te herzien en te versterken, zodat ze de geavanceerde tactieken van hedendaagse aanvallers effectief kunnen bestrijden.

Maatregelen

Organisaties kunnen enkele maatregelen nemen om zichzelf tegen cyberaanvallen te wapenen. Denk daarbij aan:

  • Zicht krijgen op het externe en interne aanvalsoppervlak om gelijke tred te houden met het groeiende aanvalsoppervlak. Het cloud landschap moet hier ook onder vallen omdat frequente veranderingen in de cloud nieuwe risico's introduceren. Iin het bijzonder het beveiligen van het remote desktop protocol (RDP), dat de dreiging van ransomware kan vergroten als het wordt blootgesteld, is hierbij belangrijk. Het creëren van dit overzicht vereist een robuuste combinatie van het in kaart brengen van bedrijfsmiddelen, het scannen op kwetsbaarheden en het invoeren van uitgebreide multifactorauthenticatie (MFA). Voortdurende beoordeling en verbetering van de verdediging, met name bij clouddiensten, waar de dynamische aard van de technologie kan leiden tot frequente blootstelling aan bedreigingen is essentieel.
  • Kritieke gaten in de beveiliging dichten met Zero Trust-principes door de gebruikersverificatie te versterken met uitgebreide MFA en wachtwoordloze technologiëen te onderzoeken om de effectiviteit van credential stealing te verminderen. Door ervoor te zorgen dat gebruikers alleen toegang hebben tot de bronnen die nodig zijn voor hun rol, wordt de kans op onbevoegde toegang en zijwaartse beweging binnen het netwerk beperkt. Deze strategische aanpak vereist voortdurende validatie van beveiligingsprotocollen en gebruikersrechten, in combinatie met strenge opleidingen over best practices voor authenticatie en sessiebeheer.

Meer informatie is te vinden in het Unit 42 Incident Response rapport, dat hier beschikbaar is.

Dutch IT Golf Cup BW tm 16-09-2024 Dutch IT Security Day BW tm 15-10-2024
DIC Awards BN tm 21-10-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!