Helft van de malware bij mkb'ers zijn keyloggers, spyware en stealers

Dit meldt Sophos in zijn jaarlijkse Sophos Threat Report 2024. Het rapport deelt informatie over “Cybercrime on Main Street” en de grootste dreigingen waarmee het midden- en kleinbedrijforganisaties met 500 werknemers of minder wordt geconfronteerd. Het analyseert daarnaast initial access brokers (IAB’s) – criminelen die gespecialiseerd zijn in het inbreken in computernetwerken. Uit het rapport blijkt dat IAB’s gebruikmaken van het dark web om reclame te maken voor hun mogelijkheden en diensten om in mkb-netwerken in te breken of kant-en-klare toegang te verkopen tot mkb'ers die ze al hebben gekraakt.

Ontdekt door Sophos X-Ops: een voorbeeld van een post op een forum van het dark web waarin reclame wordt gemaakt voor toegang tot een klein Amerikaans boekhoudkantoor. Andere voorbeelden van advertenties op forums van cybercriminelen die zich richten op mkb'ers, per sector en per land, staan in het Sophos Threat Report 2024.

'Waarde van data als betaalmiddel stijgt'

“De waarde van ‘data’ als betaalmiddel is exponentieel toegenomen onder cybercriminelen, en dit is met name het geval voor mkb'ers, die de neiging hebben om slechts één dienst of softwareapplicatie per functie te gebruiken voor hun hele activiteit. Aanvallers gebruiken bijvoorbeeld een infostealer op het netwerk van hun doelwit om inloggegevens te stelen en vervolgens het wachtwoord van de boekhoudsoftware van het bedrijf te bemachtigen. Ze kunnen dan toegang krijgen tot de financiële gegevens van het bedrijf en eventueel geld naar hun eigen rekeningen doorsluizen”, zegt Christopher Budd, director of Sophos X-Ops research bij Sophos.

“Er is een reden waarom meer dan 90% van alle cyberaanvallen die in 2023 aan Sophos werden gemeld, betrekking had op diefstal van data of inloggegevens, ongeacht of het nu ging om ransomware-aanvallen, data-afpersing, ongeoorloofde toegang op afstand of gewoon diefstal van gegevens.”

Ransomware blijft de grootste dreiging

Hoewel het aantal ransomware-aanvallen tegen mkb'ers gestabiliseerd is, is het nog steeds de grootste cyberdreiging voor het mkb. Van alle mkb-gevallen die werden behandeld door het Sophos Incident Respons (IR) team, dat organisaties helpt die actief worden aangevallen, was LockBit de ransomwarebende die de grootste ravage aanrichtte. Akira en BlackCat staan respectievelijk op de tweede en derde plaats. De mkb'ers die in het rapport worden bestudeerd, werden ook geconfronteerd met aanvallen van oudere en minder bekende ransomware, zoals BitLocker en Crytox.

Volgens het rapport blijven ransomware-operators hun ransomware-tactieken veranderen. Dit omvat het gebruik van versleuteling op afstand en het aanvallen van managed service providers (MSP’s). Tussen 2022 en 2023 steeg het aantal ransomware-aanvallen waarbij er sprake was van versleuteling op afstand met 62%. Aanvallers maken in dit geval gebruik van een onbeheerd apparaat op de netwerken van organisaties om bestanden op andere systemen in het netwerk te versleutelen.

Daarnaast reageerde het Managed Detection and Response (MDR) team van Sophos op vijf gevallen waarbij kleine bedrijven werden aangevallen via een exploit in de remote monitoring and management (RMM)-software van hun MSP's.

Social engineering en CEO-fraude steeds complexer

Volgens het rapport waren Business Email Compromise (BEC)-aanvallen - ook wel CEO-fraude genoemd - het op één na hoogste type aanvallen dat Sophos IR in 2023 aanpakte. Deze BEC-aanvallen en andere social engineering-campagnes worden steeds complexer. In plaats van gewoon een e-mail met een kwaadaardige bijlage te sturen, vallen aanvallers hun doelwitten nu eerder aan door e-mails heen en weer te sturen of zelfs door hen te bellen.

In een poging om de traditionele tools voor spampreventie te omzeilen, experimenteren aanvallers nu met nieuwe formaten voor hun kwaadaardige content, waarbij ze afbeeldingen toevoegen die kwaadaardige code bevatten of door kwaadaardige bijlagen te verzenden in OneNote of archiefformaten. In een van de gevallen die Sophos onderzocht, stuurden de aanvallers een PDF-document met een wazige, onleesbare miniatuur van een zogenaamde factuur. De downloadknop bevatte een link naar een kwaadaardige website.

Meer informatie is beschikbaar in het 'Sophos Threat Report 2024'.