Cybercriminelen steeds langer onopgemerkt in het bedrijfsnetwerk
Sophos Cybersecurity, Cyber Threat, Cyberangriffe
Cybercriminelen blijven steeds langer onopgemerkt in het bedrijfsnetwerk
Sophos heeft zijn "Active Adversary Playbook 2022" rapport uitgebracht. Het beschrijft in detail het gedrag van cybercriminelen dat door de Rapid Response Team Sophos heeft waargenomen in 2021. Het onderzoek toont een toename van de tijd die cybercriminelen doorbrengen in bedrijfsnetwerken met 36 procent. Het gemiddelde onopgemerkte netwerk zonder een grote aanval zoals ransomware is 34 dagen. Het rapport toont ook de impact van de ProxyShell kwetsbaarheden in Microsoft Exchange, die volgens Sophos door sommige worden uitgebuit door een aantal initial access brokers (IAB's) om netwerken binnen te dringen en vervolgens en vervolgens toegang te verkopen aan andere cybercriminelen.
"De wereld van de cybercriminaliteit is ongelooflijk divers geworden en gespecialiseerd," zegt John Shier, senior beveiligingsadviseur bij Sophos. "Initial access brokers (IAB's) hebben hun eigen cybercrime-industrie ontwikkeld industrie door een doelwit binnen te dringen, het te scouten of een backdoor te installeren, en vervolgens backdoor en vervolgens kant en klare toegang te verlenen aan Ransomware bendes voor hun eigen aanvallen. In dit steeds meer dynamische en gespecialiseerde cyberdreigingslandschap kan het moeilijk zijn voor organisaties om de steeds veranderende tools en methoden van aanvallers bij te houden. van de aanvallers. Het is belangrijk dat zij weten wat zij in elke fase van de aanvalsketen, zodat ze aanvallen zo snel mogelijk kunnen detecteren en neutraliseren en ze zo snel mogelijk kunnen neutraliseren."
Langer aan de macht in kleinere bedrijven en de onderwijssector
Uit het onderzoek van Sophos blijkt ook dat de verblijftijd van
aanvallers langer was in kleinere bedrijven dan in grotere.
De cybercriminelen verbleven in bedrijven met maximaal 250 werknemers voor
ongeveer 51 dagen. Ter vergelijking: in bedrijven met 3.000 tot 5.000 werknemers verbleven ze doorgaans
tot 5.000 werknemers doorgaans "slechts" 20 dagen.
Ransomware-aanvallen vormen een speciaal geval. Hier handelen de criminelen over het algemeen
"sneller" in het algemeen, maar ook hier steeg het onopgemerkte verblijf in het netwerk van
11 dagen in 2020 tot 15 dagen in 2021.
Grotere bedrijven zijn"waardevoller"voor cybercriminelen en strijden om ruimte
op het netwerk
"Aanvallers beschouwen grotere organisaties als waardevoller en zijn daarom
gemotiveerd om snel binnen te komen en snel weer te
verdwijnen. Kleinere organisaties hebben een lagere "waarde", zodat
indringers het zich kunnen veroorloven om langer op de achtergrond op het
netwerk. Het is echter ook mogelijk dat deze aanvallers
minder ervaring hebben en daarom meer tijd doorbrengen op het netwerk
scouting. Kleinere bedrijven hebben ook vaak
hebben minder inzicht in de aanvalsketen om aanvallen op te sporen en te verijdelen.
ze te verijdelen. Dit verlengt ook de aanwezigheid van de aanvallers", aldus Shier.
"Met de mogelijkheden van ongepatchte ProxyLogon en
ProxyShell kwetsbaarheden, en de opkomst van IAB's, zien we
meerdere aanvallers op hetzelfde netwerk," voegde hij eraan toe.
netwerk. Als het daar krap wordt, willen ze snel handelen om hun
concurrenten voor te zijn."
De gemiddelde tijd tot ontdekking was langer voor "stealth" aanvallen die zich niet hadden ontwikkeld tot een grote aanval zoals ransomware, en voor kleinere organisaties met minder IT-beveiligingsmiddelen. De gemiddelde verblijftijd van aanvallers in organisaties die door ransomware waren getroffen was 15 dagen. Voor organisaties die wel waren geschonden maar nog niet waren getroffen door een aanval zoals ransomware (23 procent van alle onderzochte gevallen), bedroeg de gemiddelde gevallen) bedroeg de gemiddelde verblijftijd 34 dagen. Voor organisaties in de onderwijssector of met minder dan 500 werknemers was de verblijftijd ook langer. was ook langer.
Langere verblijftijden en open toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Forensische experts van Sophos ontdekten gevallen waar meerdere aanvallers, waaronder IAB's, Ransomware-Banden, cryptominer, en soms zelfs meerdere ransomware-groepen, dezelfde organisatie tegelijkertijd aanvielen. gericht op dezelfde organisatie
Ondanks een afname in het gebruik van het Remote Desktop Protocol (RDP) voor externe toegang, gebruikten aanvallers de tool steeds vaker voor netwerktoegang. gebruikten aanvallers de tool steeds vaker om het netwerk binnen te sluipen. In 2020 gebruikten aanvallers RDP voor externe activiteiten in 32 procent van de geanalyseerde gevallen. Dit aandeel Deze verandering is toe te juichen en suggereert dat bedrijven en suggereert dat bedrijven hun beheer van externe aanvalsoppervlakken hebben verbeterd, aanvallers zijn aanvalsoppervlakken, maar aanvallers misbruiken RDP nog steeds voor interne laterale bewegingen. Sophos ontdekte dat aanvallers in 2021 RDP in 82 procent van de tijd voor interne netwerkverkenning, tegen 69 procent in Jahr 2020.
Gemeenschappelijke combinaties van tools die bij aanvallen worden gebruikt zijn een duidelijk waarschuwingsteken van cyberaanvallen. Uit de onderzoeken naar incidentenonderzoeken lieten bijvoorbeeld zien dat in 2021 64 procent van de PowerShell en kwaadaardige niet-PowerShell-scripts in 64 procent van de samen werden gebruikt. PowerShell en Cobalt Strike werden in 56 procent van de gevallen gebruikt. PowerShell en PsExec werden in combinatie aangetroffen in 51 procent van de gevallen. van de gevallen. De detectie van dergelijke correlaties kan dienen als een vroege waarschuwing voor een op handen zijnde aanval of kan de aanwezigheid van een actieve aanval bevestigen. van een actieve aanval.
50 procent van de ransomware-incidenten betrof bevestigde data exfiltratie. bevestigde exfiltratie van gegevens. Voor de beschikbare gegevens is het gemiddelde interval tussen gegevensdiefstal en het gebruik van ransomware 4,28 dagen. ransomware was 4,28 dagen. 73 procent van de incidenten waar Sophos in 2021 op reageerde betrof ransomware. Van deze ransomware-incidenten betrof 50 procent ook procent ook data exfiltratie. Deze verplaatsing van gegevens is vaak de laatste fase van de aanval voordat de ransomware wordt vrijgegeven.
Conti was de meest voorkomende ransomware-groep in 2021, goed voor 18 procent van alle incidenten. Ransomware groep. De REvil ransomware was goed voor één op de tien incidenten. Andere veel voorkomende ransomwarefamilies zijn onder meer. DarkSide (de RaaS achter de beruchte Colonial Pipeline-aanval in de VS) en. Black KingDom, een van de "nieuwe" groepen die in maart 2021 in de nasleep van het ProxyLogon kwetsbaarheid opdook. Van de 144 incidenten die in de analyse zijn opgenomen Sophos identificeerde 41 verschillende ransomware-aanvallers. Hiervan 28 waren nieuwe actoren die in 2021 voor het eerst werden gesignaleerd. Achttien Ransomware-groepen die in 2020 in incidenten voorkwamen, stonden in 2021 niet meer op de lijst. op de lijst in 2021.
Het Sophos Active Adversary Playbook 2022 is gebaseerd op. 144 incidenten uit 2021, gericht op bedrijven van alle groottes en industrieën in de VS, Canada, het VK, Duitsland, Italië, Spanje, Frankrijk, Zwitserland, België, Nederland, Oostenrijk, de Verenigde Arabische Emiraten, Saoedi-Arabië, het Verenigd Koninkrijk. Emiraten, Saoedi-Arabië, de Filipijnen, de Bahama's, Angola en Japan. gericht. De sectoren met de hoogste vertegenwoordiging zijn de be- en verwerkende industrie (17 procent), gevolgd door detailhandel (14 procent), gezondheidszorg (13 procent) (13%), IT (9%), bouw (8%) en onderwijs (6%). (6 procent).
Concrete voordelen voor de IT-beveiligingsindustrie
Het doel van het Sophos-rapport is dat beveiligingsteams begrijpen hoe
hoe cybercriminelen aanvallen en hoe kwaadaardige activiteiten op de
en hoe kwaadaardige activiteiten op het netwerk kunnen worden opgespoord en verdedigd. Een resultaat van deze onderzoeken is
de toenemende oprichting van zogenaamde IT-beveiligingsecosystemen - een strategie die
Sophos voert deze strategie ook uit met zijn Adaptive
Cybersecurity Ecosystem (ACE). Het is gebaseerd op de verzamelde
dreigingsgegevens van SophosLabs, Sophos Security Operations (menselijke
analisten betrokken bij duizenden klantomgevingen via de Sophos Managed Threat
klantomgevingen via het Sophos Managed Threat Response programma) en Sophos' Kunstmatige
Sophos. Een enkel, geïntegreerd data lake brengt informatie samen van alle Sophos's
oplossingen en bedreigingsinformatiebronnen. Real-time analyses
stellen verdedigers in staat om inbraken te voorkomen door verdachte signalen te vinden.
signalen. Tegelijkertijd stellen open API's klanten, partners en
ontwikkelaars om tools en oplossingen te ontwikkelen die met het systeem interageren.
Alles wordt centraal beheerd via het Sophos Central Management platform.