Wouter Hoeffnagel - 27 juli 2022

Economische tegenwind kan leiden tot meer cybercrime

Economische tegenwind kan leiden tot meer cybercrime image

De dalende economische omstandigheden kunnen meer mensen aanzetten tot cybercriminaliteit om de eindjes aan elkaar te knopen. Dit blijkt uit het onderzoek van Palo Alto Networks Unit 42.

In het 2022 Unit 42 Incident Response Report deelt Palo Alto Networks inzichten uit Unit 42's Incident Response-werk. Hierbij wordt gebruik gemaakt van een steekproef uit meer dan 600 Unit 42 Incident Response-gevallen om CISO's en beveiligingsteams te helpen om inzicht te krijgen in de grootste beveiligingsrisico's en waar ze hun middelen in moeten zetten om deze te verminderen.

Ransomware en CEO-fraude

Palo Alto Networks Unit 42 stelde vast dat ransomware en business email compromise (BEC) - ook wel CEO-fraude genoemd - de top incidenttypes waren waarop haar Incident Response-team reageerde in de afgelopen 12 maanden. Samen waren ransomware en BEC goed voor ongeveer 70% van de incident response cases.

"Op dit moment is cybercriminaliteit een gemakkelijke business om in te stappen omdat het weinig kost en vaak veel oplevert. Ongeschoolde, beginnende aanvallers kunnen aan de slag gaan met tools zoals hacking-as-a-service die steeds populairder en makkelijker beschikbaar worden op het Dark Web", aldus Wendi Whitmore, SVP en Head of Unit 42 bij Palo Alto Networks. "Ransomware-aanvallers worden ook steeds georganiseerder met hun klantenservice en tevredenheidsonderzoeken als ze zich inlaten met cybercriminelen en de gedupeerde organisaties."

Unit 42 ontdekte ook dat in 75% van de gevallen van insider threat een voormalige medewerker betrokken is. "De huidige economische volatiliteit maakt het noodzakelijk voor organisaties om zich te richten op bescherming tegen insider threats. Cybercriminelen zoeken werknemers op het web op en benaderen hen direct om hen geld te bieden voor hun referenties", voegt Whitmore toe.

Ransomware

Elke vier uur wordt er een nieuw ransomware-slachtoffer op leksites geplaatst. Het vroegtijdig identificeren van ransomware-activiteiten is van cruciaal belang voor organisaties. Doorgaans worden ransomware-actoren pas ontdekt nadat bestanden zijn versleuteld en de slachtofferorganisatie een losgeldbrief ontvangt. Unit 42 heeft vastgesteld dat de gemiddelde tijd die bedreigers in een bepaalde omgeving doorbrengen voordat ze worden ontdekt voor ransomware-aanvallen 28 dagen bedraagt. Er is voor 30 miljoen dollar losgeld geëist en er is voor 8 miljoen dollar uitbetaald.

Steeds vaker kunnen getroffen organisaties ook dubbele afpersing verwachten, waarbij bedreigers dreigen gevoelige informatie openbaar te maken als het losgeld niet wordt betaald. De financiële sector en de vastgoedsector behoorden tot de sectoren die de hoogste gemiddelde losgeldeisen ontvingen, met een gemiddelde eis van respectievelijk bijna 8 miljoen dollar en 5,2 miljoen dollar.

BEC

Cybercriminelen maken gebruik van uiteenlopende technieken om bedrijven via e-mail te misleiden. Vormen van social engineering zoals phishing bieden een gemakkelijke en kosteneffectieve manier om toegang te krijgen terwijl het risico op ontdekking laag blijft.

Volgens het rapport vragen cybercriminelen hun onwetende doelwitten in veel gevallen gewoon om hun inloggegevens te geven - en krijgen ze die. Als ze eenmaal toegang hebben, was de gemiddelde verblijfstijd voor BEC-aanvallen 38 dagen en het gemiddelde gestolen bedrag 286.000 dollar.

Getroffen sectoren

Aanvallers volgen het geld als het op industrieën aankomt. Veel aanvallers zijn echter opportunistisch. Ze scannen het internet op zoek naar systemen waarvan ze bekende kwetsbaarheden kunnen misbruiken. Unit 42 identificeerde de meest getroffen sectoren in incident response cases als financiën, professionele en juridische dienstverlening, productie, gezondheidszorg, high tech, groothandel en detailhandel.

Het rapport onthult ook enkele statistieken van Incident Response-zaken:

  • De top drie van aanvankelijke toegangsvectoren die door bedreigers werden gebruikt, waren phishing, exploitatie van bekende softwarekwetsbaarheden en brute-force credential-aanvallen die voornamelijk waren gericht op het remote desktop protocol (RDP). Samen vormen deze aanvalsvectoren 77% van de vermoedelijke hoofdoorzaken van inbraken.
  • ProxyShell was goed voor meer dan de helft van alle kwetsbaarheden die werden misbruikt voor initiële toegang (55%), gevolgd door Log4J (14%), SonicWall (7%), ProxyLogon (5%) en Zoho ManageEngine ADSelfService Plus (4%).
  • In de helft van alle Incident Response-zaken ontdekten onze onderzoekers dat organisaties niet beschikten over multifactorauthenticatie op kritieke internetgerichte systemen zoals bedrijfswebmail, VPN-oplossingen (Virtual Private Network) of andere oplossingen voor toegang op afstand.
  • In 13% van de gevallen hadden organisaties geen maatregelen getroffen om accountvergrendeling te verzekeren voor brute-force credential aanvallen.
  • In 28% van de gevallen droeg het hebben van slechte patchbeheerprocedures bij aan het succes van bedreigers.
  • In 44% van de gevallen beschikten organisaties niet over een beveiligingsoplossing voor detectie en reactie op endpoints (EDR) of uitgebreide detectie en reactie (XDR) of was deze niet volledig ingezet op de systemen die aanvankelijk waren getroffen om kwaadaardige activiteiten te detecteren en hierop te reageren.

Meer informatie is beschikbaar in het 2022 Unit 42 Incident Response Report. Een samenvatting van het rapport is beschikbaar in de Unit 42 blog.

Axians 12/11/2024 t/m 26/11/2024 BN+BW