Op Black Hat USA 2022 heeft VMware voor het achtste jaar op rij zijn 'Global Incident Response Threat Report' uitgebracht. Het document biedt inzicht in de uitdagingen waar securityteams mee te maken hebben in tijden van pandemieën, burn-outs en geopolitiek gemotiveerde cyberaanvallen. Volgens het rapport merkt 65% van de verdedigers dat het aantal cyberaanvallen sinds de Russische invasie in Oekraïne is toegenomen. Het rapport belicht ook opkomende bedreigingen zoals deepfakes, aanvallen op API’s en cybercriminelen die hun aandacht richten op de professionals die op cyberincidenten reageren.
Deepfakes als aanvalsmethoden
“Om security controles te omzeilen nemen cybercriminelen deepfakes op in hun aanvalsmethoden”, zegt Rick McElroy, hoofdstrateeg van cybersecurity bij VMware. “Twee op de drie respondenten stelt vast dat kwaadaardige deepfakes in een aanval gebruikt worden, dit is een toename van 13% in vergelijking met vorig jaar. E-mail blijkt de populairste methode om deze boodschappen te verspreiden. Cybercriminelen hebben zich meer ontwikkeld en gebruiken synthetische video en audio niet meer alleen voor beïnvloedingsoperaties of desinformatiecampagnes. Hun nieuwe doel is om deepfake-technologie te gebruiken om organisaties te compromitteren en toegang te krijgen tot hun omgeving.”
Belangrijke bevindingen uit het rapport
- Cybersecurity burn-out blijft een kritiek probleem
Zo’n 47% van de professionals die incidenten bestrijden, stelt dat ze in de afgelopen twaalf maanden te maken hebben gekregen met een burn-out of extreme stress. Dit is een kleine daling ten opzichte van vorig jaar (51%). Van deze groep heeft 69% overwogen om van baan te veranderen (65% in 2021). Veel organisaties doen er van alles aan om dit te vermijden: meer dan twee derde van de respondenten geeft aan dat hun werkgever een welzijnsprogramma heeft gelanceerd om burn-outs tegen te gaan.
- Ransomware-aanvallers zetten in op strategieën voor cyberafpersing
Het aantal ransomware-aanvallen is nog niet afgenomen. De aanvallen worden vaak gestimuleerd door samenwerkingsverbanden tussen criminele groepen op het dark web. In de afgelopen twaalf maanden is 57% van de respondenten met een dergelijke aanval geconfronteerd, terwijl twee derde (66%) in aanraking is gekomen met partnerprogramma’s en/of partnerschappen tussen ransomware-groeperingen. Prominente cyberkartels blijven organisaties afpersen door middel van dubbele afpersingstechnieken, gegevensveilingen en chantage.
- API’s zijn de nieuwe endpoints en de volgende stap voor aanvallers
Naarmate het aantal workloads en applicaties toeneemt, brengt 23% van de aanvallen de beveiliging van API’s in gevaar. De belangrijkste API-aanvallen zijn het blootstellen van gegevens (het afgelopen jaar ervaren door 42% van de respondenten), SQL- en API injection-aanvallen (respectievelijk 37% en 34%) en gedistribueerde Denial of Service-aanvallen (33%).
- Laterale beweging is het nieuwe strijdtoneel
Laterale beweging werd bij 25% van de aanvallen waargenomen. Cybercriminelen gebruikten alles van script hosts (49%) en bestandsopslag (46%) tot PowerShell (45%), platformen voor bedrijfscommunicatie (41%) en .NET (39%). Uit een analyse van de telemetrie binnen VMware Contexa, een full-fidelity threat intelligence cloud die in de producten van VMware is ingebouwd,blijkt dat alleen al in april en mei 2022 in bijna de helft van de inbraken sprake was van laterale beweging.
Beschermen tegen het groeiende aanvalsoppervlak
“Om zich te beschermen tegen het groeiende aanvalsoppervlak hebben cybersecurityteams een adequaat niveau van zichtbaarheid over workloads, apparaten, gebruikers en netwerken nodig. Zo kunnen ze cyberdreigingen opsporen, zich tegen aanvallen beschermen en erop reageren”, zegt Chad Skipper, global security technologist bij VMware. “Wanneer beveiligingsteams beslissingen nemen op basis van onvolledige en onnauwkeurige data, belemmert dat hun vermogen om een granulaire securitystrategie te implementeren. Bovendien hindert de beperkte context van systemen ook hun inspanningen om laterale beweging en aanvallen te detecteren en tegen te houden.”
Ondanks het turbulente bedreigingslandschap en de toenemende bedreigingen die in het rapport beschreven staan, vechten de professionals die zich op cyberincidenten richten terug. Zo zegt 87% dat ze soms (50%) of heel vaak (37%) in staat zijn om de handelingen van een cybercrimineel te verstoren. Hiervoor doen ze ook een beroep op nieuwe technieken. Driekwart van de respondenten geeft aan virtuele patching als noodmechanisme in te zetten. Overal geldt: hoe meer zicht verdedigers hebben op het steeds groter wordende aanvalsoppervlak, des te beter ze zijn uitgerust om deze te beschermen.
Hier onder het hele rapport over de evolutie van het bedreigingslandschap en voor bruikbare richtlijnen en aanbevelingen voor incidentresponsteams. (pdf)
Meer rapporten? Kijk dan hier
Bron: vmware.com, persberichten.com
Bekijk alle vormen en begrippen
Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00
Actuele aanvallen overzicht per dag
Meer cybercrime nieuws
"Onverantwoorde en destabiliserende gedrag in cyberspace"
De Europese Unie en de Verenigde Staten zeggen dat Chinese staatshackers cyberaanvallen hebben uitgevoerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange Server. Daarmee hebben ze de economie, democratie en samenleving ernstige schade toegebracht. Ze zeggen er alles aan te doen om samen met internationale partners ‘kwaadaardig gedrag in cyberspace’ te bestrijden.
Cyberweerbaarheid verhogen op 'automatiserings- en control systemen' met de 'Security Checker'
Een publiek-privaat samenwerkingsverband introduceerde afgelopen maandag de 'Security Check Procesautomatisering'. Dit is een interactieve zelfscan die is ontwikkeld om Nederlandse organisaties met ICS-SCADA systemen handvatten te bieden in het weerbaarder maken van deze systemen. Het samenwerkingscollectief presenteert de tool aan Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en aan Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat.
Onderhandeling tussen slachtoffer en cybercriminelen van REvil
Terwijl computeranalisten van over de hele wereld hun vaardigheden ter beschikking stellen voor de gemeenschap, heeft REvil de afgelopen dagen geprobeerd rechtstreeks zaken te doen met enkele van hun slachtoffers.
Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen
Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft 'Security' een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.
Kwetsbaarheden bij ziekenhuizen en GGD
Twee weken geleden hadden we het over de kwetsbaarheden bij overheidswebsites, maar hoe zit het eigenlijk bij ziekenhuizen?
"De Nederlandse politie heeft voortdurend een belangrijke rol in dit soort internationale onderzoeken"
Door een grootschalige en internationaal gecoördineerde actie zijn politie-eenheden uit diverse landen erin geslaagd om de VPN-provider DoubleVPN offline te halen. Politiediensten uit onder meer Duitsland, het Verenigd Koninkrijk, Canada en de Verenigde Staten zeggen dat hackers en cybercriminelen de VPN-service gebruikten om ransomware-aanvallen en andere digitale misdrijven uit te voeren. Nu de gehele infrastructuur van DoubleVPN platligt, is het criminele circuit een gevoelige klap toegebracht.