Wouter Hoeffnagel - 06 augustus 2024

Zes op de tien phishingmails omzeilt DMARC-controles

E-mailphishing blijft een belangrijke dreiging, met 17,8 miljoen gedetecteerde phishing-e-mails tussen december 2023 en juli 2024. 62% daarvan omzeilde DMARC-controles die zijn ontworpen om bescherming te bieden tegen ongeautoriseerd gebruik. 56% van de phishing-e-mails passeerde alle bestaande beveiligingslagen. Ook blijven Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS) het dreigingslandschap domineren. Ook doen nieuwe dreigingen de ronde, waaronder de Qilin-ransomware en toegenomen exploitatie van kwetsbaarheden in de edge-infrastructuur.

Zes op de tien phishingmails omzeilt DMARC-controles image

Dit blijkt uit het rapport 'First 6: Half-Year Threat Report van 2024' van Darktrace, gespecialiseerd in kunstmatige intelligentie voor cybersecurity. In het rapport zijn de belangrijkste dreigingen en aanvalsmethoden geïdentificeerd waarmee bedrijven in de eerste helft van 2024 te maken hebben gehad. Deze inzichten zijn waargenomen door het Threat Research-team van Darktrace met behulp van haar unieke zelflerende AI binnen het Darktrace-klantenbestand en werpen een licht op de aanhoudende aard van cyberdreigingen en nieuwe technieken die door aanvallers worden gebruikt om traditionele beveiliging te omzeilen.

Meer e-mailphishing en geavanceerde ontwijkingstechnieken

Phishing blijft een aanzienlijke dreiging voor organisaties. Darktrace detecteerde 17,8 miljoen phishing-e-mails in zijn klantenbestand tussen 21 december 2023 en 5 juli 2024. Alarmerend genoeg omzeilde 62% van deze e-mails met succes de verificatiecontroles van Domain-based Message Authentication, Reporting and Conformance (DMARC). Dit zijn industriële protocollen die zijn ontworpen om e-maildomeinen te beschermen tegen ongeautoriseerd gebruik. Maar liefst 56% passeerde alle bestaande beveiligingslagen.

Het rapport benadrukt hoe cybercriminelen geavanceerdere tactieken, technieken en procedures (TTP's) omarmen die zijn ontworpen om traditionele beveiliging te omzeilen. Daarnaast zag Darktrace een toename in aanvallers die populaire, legitieme services en sites van derden, zoals Dropbox en Slack, in hun activiteiten gebruiken om zich aan te passen aan het normale netwerkverkeer. Ook is er een piek in het gebruik van geheime command and control (C2)-mechanismen, waaronder remote monitoring and management (RMM)-tools, tunneling en proxyservices.

Cybercrime-as-a-Service blijft een probleem

Cybercrime-as-a-Service blijft het dreigingslandschap domineren, waarbij Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS)-tools een aanzienlijk deel uitmaken van de kwaadaardige tools die door aanvallers worden gebruikt. Cybercrime-as-a-Service-groepen, zoals Lockbit en Black Basta bieden aanvallers alles wat ze nodig hebben; van kant-en-klare malware tot sjablonen voor phishing-e-mails. Hierdoor wordt de drempel voor cybercriminelen met beperkte technische kennis verlaagd.

De meest voorkomende dreigingen die Darktrace van januari tot juni 2024 observeerde, waren:

  • Informatie-stelende malware (29% van de vroeg getrieerde onderzoeken)
  • Trojans (15% van de onderzochte bedreigingen)
  • Remote Access Trojans (RAT's) (12% van de onderzochte bedreigingen)
  • Botnets (6% van de onderzochte bedreigingen)
  • Loaders (6% van de onderzochte bedreigingen)

Nieuwe dreigingen steken de kop op

Verder onthult het rapport de opkomst van nieuwe dreigingen. Met name die van Qilin-ransomware. Deze ransomware gebruikt verfijnde tactieken, zoals het opnieuw opstarten van geïnfecteerde machines in de veilige modus om beveiligingstools te omzeilen en het voor menselijke beveiligingsteams moeilijker maakt om snel te reageren.

Volgens het rapport zijn dubbele afpersingsmethoden nu gangbaar onder ransomware-groepen. Het Threat Research-team van Darktrace drie overheersende ransomware-groepen geïdentificeerd: Akira, Lockbit en Black Basta. Bij alle drie zijn dubbele afpersingsmethoden waargenomen.

"Het dreigingslandschap blijft evolueren, maar nieuwe dreigingen bouwen vaak voort op oude fundamenten in plaats van ze te vervangen. Hoewel we de opkomst van nieuwe malwarefamilies hebben waargenomen, worden veel aanvallen uitgevoerd door de usual suspects die we de afgelopen jaren hebben gezien, waarbij nog steeds gebruik wordt gemaakt van bekende technieken en malwarevarianten", aldus Nathaniel Jones, Director of Strategic Threat and Engagement bij Darktrace. "MaaS/RaaS-servicemodellen en de opkomst van nieuwe dreigingen zoals Qilin-ransomware onderstrepen de aanhoudende behoefte aan adaptieve, door machine learning aangestuurde beveiligingsmaatregelen die gelijke tred kunnen houden met een snel evoluerend dreigingslandschap."

Edge-infrastructuurcompromissen en exploitatie van kritieke kwetsbaarheden

Darktrace zag ook een toename in massaal misbruik van kwetsbaarheden in edge-infrastructuurapparaten, met name die gerelateerd aan Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server en Palo Alto Networks PAN-OS. Dit dient vaak als springplank voor verdere kwaadaardige activiteiten.

Darktrace noemt het van groot belang dat organisaties bestaande aanvalstrends en CVE's niet uit het oog verliezen: cybercriminelen kunnen hun toevlucht nemen tot eerdere, overwegend inactieve methoden om organisaties voor de gek te houden. Tussen januari en juni maakten aanvallers in 40% van de door het Threat Research-team onderzochte gevallen misbruik van Common Vulnerabilities and Exposures (CVE's).

Meer informatie is beschikbaar in het volledige rapport 'First 6: Half-Year Threat Report 2024'.

Axians 12/11/2024 t/m 26/11/2024 BN+BW