Ransomware nog altijd de meest voorkomende aanval
De meest voorkomende onderliggende oorzaken van aanvallen zijn niet-gepatchte zwakke plekken en gecompromitteerde inloggegevens. Ransomware blijft de meest voorkomende soort aanval.
Dit blijkt uit onderzoek van IT-beveiligingsbedrijf Sophos. De resultaten zijn verzameld in 'Active Adversary Report for Business Leaders', een diepte-onderzoek naar de veranderende gedragingen en aanvalstechnieken van cybercriminelen in 2022. De geanalyseerde gegevens, afkomstig van meer dan 150 incidentresponsen (IR) van Sophos, wijzen op meer dan 500 unieke tools en technieken, waaronder 118 ‘living off the land binaries’ (LOLBins). In tegenstelling tot malware zijn LOLBins programmabestanden die van nature voorkomen in besturingssystemen, waardoor ze voor verdedigers veel moeilijker te blokkeren zijn wanneer aanvallers ze uitbuiten voor kwaadaardige praktijken.
Zwakke plekken in ProxyShell en Log4Shell vaakst uitgebuit
Daarnaast heeft Sophos ontdekt dat niet-gepatchte zwakke plekken er het vaakst voor hebben gezorgd dat aanvallers aanvankelijk toegang kregen tot geviseerde systemen. Bij de helft van de onderzochte gevallen hebben aanvallers zwakke plekken in ProxyShell en Log4Shell benut – kwetsbaarheden van 2021 – om organisaties binnen te dringen. Gecompromitteerde inloggegevens vormen de op een na meest voorkomende oorzaak van aanvallen.
“Wanneer aanvallers niet inbreken, loggen ze gewoon in. De IT-omgeving is namelijk zo groot en complex geworden dat er voor verdedigers geen waarneembare gaten meer zijn waarop ze zich kunnen richten. Voor de meeste organisaties liggen de dagen van zelfredzaamheid ver achter hen. Ze moeten altijd en overal tegelijk waakzaam zijn. Bedrijven kunnen een beroep doen op tools en diensten om de verdedigingslast een beetje te verlichten. Zo kunnen ze zich concentreren op hun kernactiviteiten”, aldus John Shier, field CTO, commercial, Sophos.
Ransomware vormt grote dreiging
Bij meer dan twee derde (68%) van de aanvallen die het IR-team van Sophos onderzocht, was er sprake van ransomware. Dat geeft aan dat het nog steeds een van de grootste bedreigingen voor bedrijven vormt. Sterker nog, de afgelopen drie jaar hadden bijna drie vierde van de IR-onderzoeken van Sophos betrekking op aanvallen met ransomware.
Hoewel ransomware het dreigingslandschap nog steeds domineert, is de verblijfstijd van aanvallers in 2022 wel afgenomen van vijftien tot tien dagen, voor alle soorten aanvallen. Bij aanvallen met ransomware is de verblijfstijd verminderd van elf tot negen dagen. De afname was nog groter was bij aanvallen zonder ransomware, namelijk van 34 dagen in 2021 tot elf dagen in 2022. Anders dan in voorgaande jaren verschilt de verblijfstijd niet significant voor organisaties of sectoren van verschillende omvang.
Gelaagde verdediging biedt bescherming
“Organisaties die met succes gelaagde verdedigingen met continue monitoring hebben ingebouwd, staan er beter voor dan organisaties die dat niet hebben. Het neveneffect van een gelaagde verdediging is echter dat vijanden sneller moeten werken om hun aanvallen tot een goed einde te brengen. En snellere aanvallen vragen om een vroegere detectie. De wedloop tussen aanvallers en verdedigers zal blijven escaleren en degenen zonder proactieve controle zullen de zwaarste gevolgen ondervinden”, aldus Shier.
Het Sophos Active Adversary Report for Business Leaders is gebaseerd op 152 IR-onderzoeken in 22 sectoren over de hele wereld. De organisaties bevonden zich in 31 verschillende landen, waaronder de VS en Canada, het VK, Duitsland, Zwitserland, Italië, Oostenrijk, Finland, België, Zweden, Roemenië, Spanje, Australië, Nieuw-Zeeland, Singapore, Japan, Hongkong, India, Thailand, de Filippijnen, Qatar, Bahrein, Saoedi-Arabië, de Verenigde Arabische Emiraten, Kenia, Somalië, Nigeria, Zuid-Afrika, Mexico, Brazilië en Colombia. De best vertegenwoordigde sectoren zijn de productiesector (20%), gevolgd door de gezondheidszorg (12%), onderwijs (9%) en kleinhandel (8%).
Meer informatie is hier beschikbaar.