Op Black Hat USA 2022 heeft VMware voor het achtste jaar op rij zijn 'Global Incident Response Threat Report' uitgebracht. Het document biedt inzicht in de uitdagingen waar securityteams mee te maken hebben in tijden van pandemieën, burn-outs en geopolitiek gemotiveerde cyberaanvallen. Volgens het rapport merkt 65% van de verdedigers dat het aantal cyberaanvallen sinds de Russische invasie in Oekraïne is toegenomen. Het rapport belicht ook opkomende bedreigingen zoals deepfakes, aanvallen op API’s en cybercriminelen die hun aandacht richten op de professionals die op cyberincidenten reageren.
Deepfakes als aanvalsmethoden
“Om security controles te omzeilen nemen cybercriminelen deepfakes op in hun aanvalsmethoden”, zegt Rick McElroy, hoofdstrateeg van cybersecurity bij VMware. “Twee op de drie respondenten stelt vast dat kwaadaardige deepfakes in een aanval gebruikt worden, dit is een toename van 13% in vergelijking met vorig jaar. E-mail blijkt de populairste methode om deze boodschappen te verspreiden. Cybercriminelen hebben zich meer ontwikkeld en gebruiken synthetische video en audio niet meer alleen voor beïnvloedingsoperaties of desinformatiecampagnes. Hun nieuwe doel is om deepfake-technologie te gebruiken om organisaties te compromitteren en toegang te krijgen tot hun omgeving.”
Belangrijke bevindingen uit het rapport
- Cybersecurity burn-out blijft een kritiek probleem
Zo’n 47% van de professionals die incidenten bestrijden, stelt dat ze in de afgelopen twaalf maanden te maken hebben gekregen met een burn-out of extreme stress. Dit is een kleine daling ten opzichte van vorig jaar (51%). Van deze groep heeft 69% overwogen om van baan te veranderen (65% in 2021). Veel organisaties doen er van alles aan om dit te vermijden: meer dan twee derde van de respondenten geeft aan dat hun werkgever een welzijnsprogramma heeft gelanceerd om burn-outs tegen te gaan.
- Ransomware-aanvallers zetten in op strategieën voor cyberafpersing
Het aantal ransomware-aanvallen is nog niet afgenomen. De aanvallen worden vaak gestimuleerd door samenwerkingsverbanden tussen criminele groepen op het dark web. In de afgelopen twaalf maanden is 57% van de respondenten met een dergelijke aanval geconfronteerd, terwijl twee derde (66%) in aanraking is gekomen met partnerprogramma’s en/of partnerschappen tussen ransomware-groeperingen. Prominente cyberkartels blijven organisaties afpersen door middel van dubbele afpersingstechnieken, gegevensveilingen en chantage.
- API’s zijn de nieuwe endpoints en de volgende stap voor aanvallers
Naarmate het aantal workloads en applicaties toeneemt, brengt 23% van de aanvallen de beveiliging van API’s in gevaar. De belangrijkste API-aanvallen zijn het blootstellen van gegevens (het afgelopen jaar ervaren door 42% van de respondenten), SQL- en API injection-aanvallen (respectievelijk 37% en 34%) en gedistribueerde Denial of Service-aanvallen (33%).
- Laterale beweging is het nieuwe strijdtoneel
Laterale beweging werd bij 25% van de aanvallen waargenomen. Cybercriminelen gebruikten alles van script hosts (49%) en bestandsopslag (46%) tot PowerShell (45%), platformen voor bedrijfscommunicatie (41%) en .NET (39%). Uit een analyse van de telemetrie binnen VMware Contexa, een full-fidelity threat intelligence cloud die in de producten van VMware is ingebouwd,blijkt dat alleen al in april en mei 2022 in bijna de helft van de inbraken sprake was van laterale beweging.
Beschermen tegen het groeiende aanvalsoppervlak
“Om zich te beschermen tegen het groeiende aanvalsoppervlak hebben cybersecurityteams een adequaat niveau van zichtbaarheid over workloads, apparaten, gebruikers en netwerken nodig. Zo kunnen ze cyberdreigingen opsporen, zich tegen aanvallen beschermen en erop reageren”, zegt Chad Skipper, global security technologist bij VMware. “Wanneer beveiligingsteams beslissingen nemen op basis van onvolledige en onnauwkeurige data, belemmert dat hun vermogen om een granulaire securitystrategie te implementeren. Bovendien hindert de beperkte context van systemen ook hun inspanningen om laterale beweging en aanvallen te detecteren en tegen te houden.”
Ondanks het turbulente bedreigingslandschap en de toenemende bedreigingen die in het rapport beschreven staan, vechten de professionals die zich op cyberincidenten richten terug. Zo zegt 87% dat ze soms (50%) of heel vaak (37%) in staat zijn om de handelingen van een cybercrimineel te verstoren. Hiervoor doen ze ook een beroep op nieuwe technieken. Driekwart van de respondenten geeft aan virtuele patching als noodmechanisme in te zetten. Overal geldt: hoe meer zicht verdedigers hebben op het steeds groter wordende aanvalsoppervlak, des te beter ze zijn uitgerust om deze te beschermen.
Hier onder het hele rapport over de evolutie van het bedreigingslandschap en voor bruikbare richtlijnen en aanbevelingen voor incidentresponsteams. (pdf)
Meer rapporten? Kijk dan hier
Bron: vmware.com, persberichten.com
Bekijk alle vormen en begrippen
Blijf op de hoogte en schrijf je in voor de wekelijkse nieuwsbrief op zondag om 19:00
Actuele aanvallen overzicht per dag
Meer cybercrime nieuws
Vaker geautomatiseerde programma’s ingezet om wachtwoord te kraken van ‘toegang op afstand’ programma’s
Onderzoekers melden een toename in het aantal klanten die melding hebben gemaakt van brute-force aanvalspogingen sinds het begin van de COVID-19 pandemie. Slecht beveiligde remote access systemen trekken ransomware-bendes aan en worden gebruikt om 'coin miners' en 'backdoors' te implanteren.
Politie cijfers, meer cybercrime en meer demonstraties
Meer WhatsAppfraude, demonstraties en coronabewust werken. Het coronavirus heeft in het eerste half jaar van 2020 grote invloed gehad op het werk van de politie. ‘Wat er allemaal gebeurde in de maatschappij, zag je direct terug in de cijfers’, zegt Liesbeth Huyzer, plaatsvervangend korpschef.
"Het vuur in Iran, ontstond als gevolg van een cyberaanval"
Afgelopen zaterdag een explosie en een brand in een energiecentrale, donderdag brand in een complex waar kernenergie wordt opgewekt, dinsdag een explosie bij een medische kliniek en een week eerder op vrijdag bij een militaire basis én een energiecentrale. Al deze incidenten in Iran gebeurden in acht dagen tijd.
Computer chipfabrieken slachtoffer van cyberaanval
X-Fab, een computerchipbedrijf uit Tessenderlo, heeft zijn fabrieken stilgelegd na een cyberaanval. Alle IT-systemen werden uit de lucht gehaald.
Bij zeker 25 Nederlandse organisaties hebben hackers toegang
Het lek in Citrix, dat een half jaar geleden tot een crisis leidde bij de Rijksoverheid, wordt actief misbruikt. Terwijl de aandacht voor de kwetsbaarheid is weggeëbd, blijken criminele hackers en spionagegroepen bij zeker 25 Nederlandse organisaties toegang te hebben tot het interne netwerk.
Cyberincidenten kunnen onze maatschappij in het hart raken en verlammen
Cyberincidenten kunnen onze maatschappij in het hart raken en gedurende korte of langere tijd verlammen. Het afgelopen jaar zijn er verschillende incidenten geweest waarbij duidelijk werd wat de impact van een digitale storing of aanval kan zijn. De kwetsbaarheden in Citrix-producten, de onbereikbaarheid van 112 door een storing bij KPN en ransomware-aanvallen zoals op de Universiteit Maastricht zijn voorbeelden daarvan.