Witold Kepinski - 06 augustus 2024

Helft phishing-e-mails omzeilt alle lagen van de beveiliging

Ruim de helft van alle phishing e-mails omzeilt elke beveiligingslaag. Cybercriminelen gebruiken steeds geavanceerdere tactieken, technieken en procedures (TTP's) om dit te bereiken. Verder zorgt cybercrime-as-a-service ervoor dat de drempel voor cyberaanvallen ook voor criminelen met beperkte technische kennis steeds lager komt te liggen. Dat blijkt uit onderzoek van Darktrace, gespecialiseerd in kunstmatige intelligentie voor cybersecurity. De onderneming bracht onlangs zijn 'First 6: Half-Year Threat Report van 2024' uit. Het rapport identificeert de belangrijkste dreigingen en aanvalsmethoden waarmee bedrijven in de eerste helft van 2024 te maken hebben gehad.

Helft phishing-e-mails omzeilt alle lagen van de beveiliging image

Deze inzichten zijn waargenomen door het Threat Research-team van Darktrace met behulp van haar 'unieke zelflerende AI' binnen het Darktrace-klantenbestand en schetsen de aanhoudende aard van cyberdreigingen en nieuwe technieken die door aanvallers worden gebruikt om traditionele beveiliging te omzeilen.

E-mailphishing en geavanceerde ontwijkingstechnieken nemen toe

Phishing blijft een aanzienlijke dreiging voor organisaties. Darktrace detecteerde 17,8 miljoen phishing-e-mails in zijn klantenbestand tussen 21 december 2023 en 5 juli 2024. Alarmerend genoeg omzeilde 62% van deze e-mails met succes de verificatiecontroles van Domain-based Message Authentication, Reporting and Conformance (DMARC). Dit zijn industriële protocollen die zijn ontworpen om e-maildomeinen te beschermen tegen ongeautoriseerd gebruik. Maar liefst 56% passeerde alle bestaande beveiligingslagen.

Het rapport benadrukt hoe cybercriminelen geavanceerdere tactieken, technieken en procedures (TTP's) omarmen die zijn ontworpen om traditionele beveiliging te omzeilen. Daarnaast zag Darktrace een toename in aanvallers die populaire, legitieme services en sites van derden, zoals Dropbox en Slack, in hun activiteiten gebruiken om zich aan te passen aan het normale netwerkverkeer. Ook is er een piek in het gebruik van geheime command and control (C2)-mechanismen, waaronder remote monitoring and management (RMM)-tools, tunneling en proxyservices.

Cybercrime-as-a-Service blijft een aanzienlijk risico vormen voor organisaties

Cybercrime-as-a-Service blijft het dreigingslandschap domineren, waarbij Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS)-tools een aanzienlijk deel uitmaken van de kwaadaardige tools die door aanvallers worden gebruikt. Cybercrime-as-a-Service-groepen, zoals Lockbit en Black Basta bieden aanvallers alles wat ze nodig hebben; van kant-en-klare malware tot sjablonen voor phishing-e-mails. Hierdoor wordt de drempel voor cybercriminelen met beperkte technische kennis verlaagd.

De meest voorkomende dreigingen die Darktrace van januari tot juni 2024 observeerde, waren:

  1. Informatie-stelende malware (29% van de vroeg getrieerde onderzoeken)
  2. Trojans (15% van de onderzochte bedreigingen)
  3. Remote Access Trojans (RAT's) (12% van de onderzochte bedreigingen)
  4. Botnets (6% van de onderzochte bedreigingen)
  5. Loaders (6% van de onderzochte bedreigingen)

Verder onthult het rapport de opkomst van nieuwe dreigingen. Met name die van Qilin-ransomware. Deze ransomware gebruikt verfijnde tactieken, zoals het opnieuw opstarten van geïnfecteerde machines in de veilige modus om beveiligingstools te omzeilen en het voor menselijke beveiligingsteams moeilijker maakt om snel te reageren.

Lockbit

Volgens het rapport zijn dubbele afpersingsmethoden nu gangbaar onder ransomware-groepen. Het Threat Research-team van Darktrace drie overheersende ransomware-groepen geïdentificeerd: Akira, Lockbit en Black Basta. Bij alle drie zijn dubbele afpersingsmethoden waargenomen.

"Het dreigingslandschap blijft evolueren, maar nieuwe dreigingen bouwen vaak voort op oude fundamenten in plaats van ze te vervangen. Hoewel we de opkomst van nieuwe malwarefamilies hebben waargenomen, worden veel aanvallen uitgevoerd door de usual suspects die we de afgelopen jaren hebben gezien, waarbij nog steeds gebruik wordt gemaakt van bekende technieken en malwarevarianten", aldus Nathaniel Jones, Director of Strategic Threat and Engagement bij Darktrace. "MaaS/RaaS-servicemodellen en de opkomst van nieuwe dreigingen zoals Qilin-ransomware onderstrepen de aanhoudende behoefte aan adaptieve, door machine learning aangestuurde beveiligingsmaatregelen die gelijke tred kunnen houden met een snel evoluerend dreigingslandschap."

Edge

Darktrace zag ook een toename in massaal misbruik van kwetsbaarheden in edge-infrastructuurapparaten, met name die gerelateerd aan Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server en Palo Alto Networks PAN-OS. Dit dient vaak als springplank voor verdere kwaadaardige activiteiten.

Het is van groot belang dat organisaties bestaande aanvalstrends en CVE's niet uit het oog verliezen: cybercriminelen kunnen hun toevlucht nemen tot eerdere, overwegend inactieve methoden om organisaties voor de gek te houden. Tussen januari en juni maakten aanvallers in 40% van de door het Threat Research-team onderzochte gevallen misbruik van Common Vulnerabilities and Exposures (CVE's).

Download hier het volledige rapport First 6: Half-Year Threat Report 2024.

Axians 12/11/2024 t/m 26/11/2024 BN+BW