Cybercriminelen brengen 36 procent meer tijd door in het netwerk van een organisatie dan een jaar geleden. Deze toename is te wijten aan het misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals van Initial Access Brokers. Ondanks een verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers deze tool vaker voor zogeheten interne laterale verplaatsing. Dat blijkt uit het ‘Active Adversary Playbook 2022’ van security-aanbieder Sophos.
Gedrag van aanvallers
Active Adversary Playbook 2022 beschrijft het gedrag van aanvallers zoals het Rapid Response-team van Sophos dit in 2021 in de praktijk heeft vastgesteld. De bevindingen tonen een toename van 36 procent in ‘Dwell Time’. Waar de mediane dwell time van indringers in 2020 nog 11 dagen bedroeg, is dit in 2021 gestegen naar 15 dagen.
Dwell time?
Is de tijd die aanvallers in een netwerk van een organisatie doorbrengen voor ze worden opgemerkt.
Het rapport toont daarnaast de impact van ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.
Divers en gespecialiseerd geworden
“De wereld van de cybercriminaliteit is ongelooflijk divers en gespecialiseerd geworden", zegt John Shier, senior security advisor bij Sophos. "IAB’s hebben een kleinschalige cybercrime-sector ontwikkeld waarbij ze inbreken bij een doelwit, de omgeving verkennen of een backdoor installeren, om vervolgens de toegang te verkopen aan ransomware-groepen die zelf een aanval willen lanceren."
In dit steeds dynamischer en gespecialiseerder cyberdreigingslandschap wordt het volgens Shier voor organisaties steeds lastiger om de wisselende tools en benaderingen van aanvallers te blijven volgen. Om aanvallen zo snel mogelijk te detecteren en neutraliseren, is het van vitaal belang dat verdedigers in elke fase van de aanvalsketen begrijpen waar ze op moeten letten.
MKB bedrijven
Het onderzoek van Sophos schetst ook een langere 'dwell time' bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met 3.000 tot 5.000 werknemers zo’n twintig dagen doorbrachten.
Shier hierover: “Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te komen, te pakken wat ze willen en weer te vertrekken. Kleinere organisaties zijn minder ‘waardevol’, waardoor aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen."
Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het dus langer om aanvallers op te merken en uit te schakelen, aldus Shier. “Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB’s zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn.”
Andere bevindingen uit het rapport
- De mediane dwell time voordat een hacker werd ontdekt, was langer voor 'stealth'-inbraken die zich niet tot een grote aanval zoals ransomware hadden ontvouwd. Hetzelfde geldt voor kleinere organisaties en sectoren met minder IT-beveiligingsmiddelen. Voor organisaties die getroffen werden door ransomware, bedroeg de mediane dwell time 11 dagen. Voor bedrijven die getroffen waren door een inbraak, maar nog niet door een grote aanval zoals ransomware (23% van alle onderzochte incidenten), lag de mediane dwell time op 34 dagen. Organisaties in het onderwijs of met minder dan 500 werknemers lieten hogere tijdswaarden zien.
- Een langere dwell time en openstaande toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Forensisch bewijsmateriaal toont situaties waarin meerdere aanvallers – waaronder IAB’s, ransomware-groepen, cryptominers en soms zelfs meerdere ransomware-aanvallers – het tegelijkertijd op dezelfde organisatie hadden gemunt.
- Ondanks een daling in het gebruik van Remote Desktop Protocol (RDP) voor externe toegang, hebben aanvallers de tool vaker gebruikt voor interne laterale bewegingen. Waar hackers in 2020 in 32 procent van de geanalyseerde gevallen een beroep deden op RDP voor externe activiteit, daalde dit in 2021 naar 13 procent. Hoewel dit een welkome evolutie is die erop wijst dat organisaties hun externe aanvalsoppervlakken beter beheren, misbruiken aanvallers RDP nog steeds voor interne laterale bewegingen. Sophos ontdekte dat aanvallers RDP hiervoor in 2021 in 82 procent van de gevallen gebruikten, een stijging ten opzichte van 2020 (69%).
- Veel voorkomende combinaties van tools die voor aanvallen worden gebruikt, bieden een krachtig waarschuwingssignaal voor de activiteit van indringers. Uit onderzoeken naar incidenten bleek bijvoorbeeld dat PowerShell en schadelijke niet-PowerShell-scripts in 2021 in 64 procent van de gevallen samen werden aangetroffen. In 56 procent van de gevallen ging het om een combinatie van PowerShell en Cobalt Strike, terwijl PowerShell en PsExec in 51 procent van de cases samen zijn waargenomen. De detectie van dergelijke correlaties kan een vroegtijdige waarschuwing voor een dreigende aanval zijn of op een actieve aanval wijzen.
- Bij 50 procent van de ransomware-incidenten was er sprake van bevestigde exfiltratie van data. De gemiddelde interval tussen de diefstal van gegevens en de inzet van ransomware bedroeg 4,28 dagen. Ransomware was betrokken bij 73% van de incidenten waarop Sophos in 2021 heeft gereageerd. De helft van deze ransomware-incidenten ging gepaard met data-exfiltratie. Vaak is data-exfiltratie de laatste fase van een aanval voordat ransomware wordt losgelaten. Uit onderzoek naar incidenten bleek dat er gemiddeld 4,28 dagen tussen zaten. De mediaan bedroeg 1,84 dagen.
Meest voorkomende ransomware-groep
Conti was de meest voorkomende ransomware-groep in 2021, goed voor 18 procent van alle incidenten. REvil-ransomware kwam voor bij één op tien incidenten. Andere dominante ransomware-families omvatten DarkSide, de RaaS die verantwoordelijk is voor de beruchte aanval op Colonial Pipeline in de VS, en Black KingDom, een van de 'nieuwe' ransomware-families die in maart 2021 verscheen in het kielzog van de ProxyLogon-kwetsbaarheid.
In de 144 incidenten uit de analyse zijn 41 verschillende ransomware-aanvallers geïdentificeerd. Ongeveer 28 hiervan waren nieuwe groepen die in 2021 voor het eerst gemeld zijn. Daarnaast zijn 18 ransomware-groepen betrokken bij incidenten uit 2020 van de lijst verdwenen.
“Alarmsignalen waar verdedigers op moeten letten zijn onder andere de detectie van een legitieme tool of combinatie van tools, of activiteit op een onverwachte plaats of een ongebruikelijk tijdstip”, licht Shier toe. “Er kunnen ook momenten met weinig of geen activiteit optreden, maar dat betekent niet dat er geen sprake is van een aanval op een organisatie. Zo zijn er waarschijnlijk nog veel meer ProxyLogon- of ProxyShell-inbreuken die op dit moment onbekend zijn. Daarbij kunnen webshells en backdoors voor persistente toegang in doelwitten geïmplementeerd zijn en in stilte wachten tot die toegang gebruikt of verkocht wordt."
Waakzaam blijven
Verdedigers moeten waakzaam zijn voor verdachte signalen en onmiddellijk een onderzoek instellen, benadrukt Shier. Ze moeten kritieke bugs patchen, voornamelijk in veelgebruikte software, en de beveiliging van remote access-diensten aanscherpen. "Totdat deze toegangspunten zijn afgesloten en alle sporen van aanvallers volledig zijn uitgeroeid, kan iedereen zomaar binnenkomen. En waarschijnlijk zullen ze dat ook daadwerkelijk doen.” De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Over het onderzoek
Het 'Sophos Active Adversary Playbook 2022' is gebaseerd op 144 incidenten uit 2021. Deze incidenten troffen organisaties van alle formaten en uiteenlopende industrieën. Ze bevinden zich in de VS, Canada, het VK, Duitsland, Italië, Spanje, Frankrijk, Zwitserland, België, Nederland, Oostenrijk, de Verenigde Arabische Emiraten, Saoedi-Arabië, de Filipijnen, de Bahama’s, Angola en Japan. De meest vertegenwoordigde sectoren zijn manufacturing (17%), retail (14%), gezondheidszorg (13%), IT (9%), de bouwsector (8%) en het onderwijs (6%).
Bron: sophos.com, dutchitchannel.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer hacking nieuws
Politie: "Op grote schaal Instagram accounts overgenomen"
De cybercrime-eenheid van de politie waarschuwt iedereen die op Instagram actief is voor oplichtingspraktijken. Instagramaccounts worden momenteel op grote schaal overgenomen door hackers en andere cybercriminelen. Zij doen zich voor als een vriend of kennis en vragen je via een direct message om je telefoonnummer.
Nederlandse websites gehackt: Te koop Corona medicijnen
Cybercriminelen gebruiken verouderde Nederlandse websites om illegaal medicijnen aan te bieden tegen het coronavirus. Het cyberteam van de FIOD dat naar financiële fraude speurt, is inmiddels op ruim 70 domeinnamen gestuit.
Infotainmentsysteem Volkswagen Polo te hacken
Het infotainmentsysteem van de Volkswagen Polo is te hacken. Dat ontdekte de Consumentenbond. Hierdoor kunnen kwaadwillenden malware installeren en kunnen ze bij gegevens van autobezitters. Ook zouden ze mogelijk het tractiecontrolesysteem kunnen beïnvloeden.
Meer hacks gericht op industrie, Siemens gewild doelwit
Cybersecuritybedrijf FireEye waarschuwt voor de toename van hackingtools die gericht zijn op Industrial Control Systems (ICS). Uit onderzoek van FireEye blijkt dat er steeds meer van dit soort tools verspreid worden, waardoor het veel makkelijker wordt om bedrijfssystemen binnen te dringen en te manipuleren.
Cybercriminelen hacken bedrijf dat vaccins tegen corona gaat testen
Cybercriminelen hebben Hammersmith Medicines Research gehackt en de gestolen data online geplaatst. Het Britse medisch bedrijf kan op elk moment vaccins tegen corona gaan testen.
Maak van je cloudomgeving geen dominospel voor hackers
"Veiligheid en gebruiksgemak door gebruik van een centraal knooppunt met een betrouwbare, snelle verbinding"
Hack The Box: Hoe een n00b zijn invite code kreeg
Een tijd geleden kreeg ik van een goede vriend van mij de tip om de documentaire 'Rats & Slaves' van NPO3 te bekijken. Kort samengevat gaat de documentaire over geïnfecteerde/gehackte computers van nietsvermoedende slachtoffers en hoe deze gehackte computers verkocht worden op het Darkweb door zogeheten 'RATters' (RAT staat voor Remote Acces Trojan). Deze gehackte computers worden vervolgens gebruikt om mensen te bespioneren voor de fun of om mensen af te persen (Ik raad je echt aan deze documentaire te kijken!).
AIVD en MIVD: VPN-gat misbruikt door staatshackers
De grote kwetsbaarheid in VPN-software van Pulse Secure, wat vorig jaar wereldwijde impact had, is niet alleen door cybercriminelen benut. Ook statelijke actoren hebben nuttig gebruik gemaakt van het beveiligignsgat. De Nederlandse inlichtingendiensten AIVD en MIVD hebben dit gesignaleerd, meldt minister Ferd Grapperhaus van Justitie en Veiligheid nu aan de Kamer.
De eenvoud van het hacken van een account en hoe jij je ertegen kunt beveiligen
De laatste tijd wordt er in de media steeds meer aandacht besteed aan bedrijven die slachtoffer zijn geworden van cyberaanvallen. In sommige van deze cyberaanvallen wordt ook data ontvreemd door de hacker en worden deze gegevens doorverkocht of publiekelijk kenbaar gemaakt. Doordat de gestolen data in veel gevallen ook gebruikersnamen met wachtwoorden bevat, wordt het steeds eenvoudiger om accounts te kraken.
WhatsApp populair dus ook intressant voor Hackers
WhatsApp lijkt goed beveiligd, maar hackers kunnen helaas nog redelijk makkelijk inbreken in je WhatsApp-account. Gelukkig kun je een extra beveiligingslaag toevoegen aan je WhatsApp. Zo werkt het!
Citrix-Lek en mogelijk 29 datalekken
Bedrijven die zijn geraakt door het Citrix-beveiligingslek, moeten oppassen dat hun website niet wordt misbruikt door hackers. Daarvoor waarschuwt het Nederlands Security Meldpunt. Hackers zijn na een hack van de Citrix-servers hoogstwaarschijnlijk in staat om de beveiligde verbinding van de website van het bedrijf over te nemen.
Hackers probeerden computersysteem Amphia Ziekenhuis in Breda binnen te komen
BREDA - Hackers hebben geprobeerd het computersysteem van het Amphia Ziekenhuis in Breda binnen te komen. Dit werd geprobeerd via het Citrix-systeem. Onlangs bleek dit systeem kwetsbaar te zijn voor aanvallen. Meerdere Brabantse gemeenten en zorginstellingen gebruiken Citrix, sommigen hebben het vanwege het risico op aanvallen preventief uitgeschakeld. Brabant Water besloot hetzelfde te doen na vragen van Omroep Brabant.