Pogingen tot het kapen van e-mail verkeer neemt toe
24 februari 2023 -
IBM Security publiceert zijn jaarlijkse X-Force Threat Intelligence Index. Uit het rapport blijkt dat hoewel het aandeel ransomware incidenten licht daalde (vier procent), van 2021 tot 2022, de verdedigers succesvoller waren in het detecteren en voorkomen van ransomware. Desondanks blijven cybercriminelen innoveren. Uit het rapport blijkt dat de gemiddelde tijd om een ransomware-aanval te voltooien is gedaald van twee maanden naar minder dan vier dagen.
Volgens het 2023-rapport kwam de inzet van backdoors, waarmee op afstand toegang tot systemen kan worden verkregen, vorig jaar naar voren als de belangrijkste actie van aanvallers. Ongeveer 67 procent van deze backdoors had betrekking op pogingen tot ransomware, waarbij verdedigers de backdoor konden detecteren voordat de ransomware werd ingezet. De toename van het aantal backdoors kan deels worden toegeschreven aan de hoge marktwaarde ervan. X-Force heeft waargenomen dat bedreigers bestaande backdoor-toegang verkopen voor bedragen tot 10.000 dollar, in vergelijking met gestolen creditcardgegevens die tegenwoordig voor minder dan tien dollar verkocht worden.
"De verschuiving naar detectie en respons heeft verdedigers in staat gesteld cybercriminelen eerder in de aanvalsketen te verstoren - waardoor de progressie van ransomware op korte termijn is afgeremd," aldus Charles Henderson, hoofd van IBM Security X-Force. "Het is slechts een kwestie van tijd voordat het backdoorprobleem van vandaag de ransomwarecrisis van morgen wordt. Cybercriminelen vinden altijd nieuwe manieren om detectie te ontwijken. Een goede verdediging is niet langer voldoende. Om te ontsnappen aan het eindeloze kat en muis spel moeten bedrijven een proactieve, dreigingsgerichte beveiligingsstrategie hanteren."
De IBM Security X-Force Threat Intelligence Index volgt nieuwe en bestaande trends en aanvalspatronen. Dit gebeurt op basis van miljarden datapunten van netwerk- en endpointapparaten, incident response engagementen en andere bronnen.
De belangrijkste bevindingen in het 2023 rapport zijn onder meer:
Afpersing is de ‘go-to methode’: De meest voorkomende impact van cyberaanvallen in 2022 was afpersing. Dit werd voornamelijk gerealiseerd via ransomware of aanvallen waarbij zakelijke e-mails werden gecompromitteerd. Europa was de meest geviseerde regio voor deze methode met 44 procent van de waargenomen afpersingsgevallen. Cybercriminelen probeerden de geopolitieke spanningen in Europa uit te buiten.
Cybercriminelen gebruiken e-mailconversaties als wapen: Er was een aanzienlijke stijging in thread hijacking in 2022. Cybercriminelen gebruiken compromitteerde e-mailaccounts om binnen lopende conversaties te antwoorden waarbij ze zich voordoen als de oorspronkelijke deelnemer. X-Force zag het aantal maandelijkse pogingen met 100 procent toenemen ten opzichte van de data van 2021.
Legacy-exploits doen nog steeds het werk. Het aandeel bekende exploits ten opzichte van kwetsbaarheden daalde van 2018 tot 2022 met tien procentpunten. De bevindingen wijzen erop dat legacy-exploits oudere malware-infecties zoals WannaCry en Conficker in staat stelden te blijven bestaan en verspreiden.
Gehanteerde afpersingstechnieken
Via verschillende tactieken richten cybercriminelen zich vaak op de meest kwetsbare sectoren, organisaties en regio's. Hierbij oefenen ze hoge psychologische druk uit om slachtoffers tot betaling te dwingen. In 2022 was de maakindustrie de meest afgeperste sector, en voor het tweede achtereenvolgende jaar de meest aangevallen sector. Productiebedrijven zijn een aantrekkelijk doelwit voor afpersing, gezien hun extreem lage tolerantie voor downtime.
Ransomware is een bekende afpersingsmethode, maar cybercriminelen zijn altijd op zoek naar nieuwe manieren om slachtoffers af te persen. Eén van de nieuwste tactieken is om gestolen data toegankelijker te maken voor zogenaamde downstreamslachtoffers. Door klanten en zakenpartners in de mix te betrekken, verhogen de exploitanten de druk op de getroffen organisatie. Cybercriminelen zullen blijven experimenteren door gevoelige informatie te verstrekken aan contacten van het slachtoffer, om de potentiële kosten en de psychologische impact van een inbreuk te vergroten. Daarom is het essentieel dat bedrijven over een incident responseplan beschikken dat ook rekening houdt met dergelijke tactieken.
Thread hijacking neemt toe
De activiteit rond het kapen van e-mails nam vorig jaar sterk toe. De maandelijkse pogingen van cybercriminelen zijn verdubbeld ten opzichte van de data van 2021. X-Force ontdekte dat cybercriminelen deze tactiek gebruikten voor het verspreiden van Emotet, Qakbot en IcedID, malafide software die vaak resulteert in ransomware-infecties.
Nu phishing vorig jaar de belangrijkste oorzaak van cyberaanvallen was en thread hijacking sterk is toegenomen, is het duidelijk dat cybercriminelen misbruik maken van het vertrouwen dat in e-mail wordt gesteld. Organisaties moeten hun werknemers bewust maken van 'thread hijacking' om het risico dat ze slachtoffer worden te verkleinen.
Mind the Gap: exploiteer ‘R&D’ achterblijvende kwetsbaarheden
De verhouding tussen bekende exploits en kwetsbaarheden is de afgelopen jaren gedaald (tien procentpunten sinds 2018). Cybercriminelen hebben al toegang tot meer dan 78.000 bekende exploits, waardoor het gemakkelijker is om oudere, ongepatchte kwetsbaarheden uit te buiten. Zelfs na vijf jaar blijven kwetsbaarheden die leiden tot WannaCry-infecties een belangrijke bedreiging. X-Force meldde onlangs een toename van 800 procent in WannaCry ransomware verkeer binnen MSS-telemetriedata sinds april 2022. Het voortdurende gebruik van oudere exploits benadrukt de noodzaak voor organisaties om programma's voor kwetsbaarheidsmanagement te verfijnen en volwassen te maken, inclusief een beter begrip van hun aanvalsoppervlak, en de noodzaak van op risico gebaseerde prioritering van patches.
De aanvullende bevindingen van het 2023-verslag omvatten:
Phishers ‘geven het op’ met kredietkaartgegevens - Het aantal cybercriminelen dat zich met phishingkits richt op bankgegevens daalde in een jaar tijd met 52 procent. Dat wijst erop dat cybercriminelen de voorkeur geven aan persoonlijk identificeerbare informatie zoals namen, e-mails en thuisadressen. Deze informatie kan voor een hogere prijs worden verkocht op het dark web of worden gebruikt om verdere aanvallen uit te voeren.
Noord-Amerika heeft het meest te lijden onder energieaanvallen. Energie bleef vorig jaar de vierde meest aangevallen sector, in een tijd waarin wereldwijde druk de tumultueuze wereldhandel in energie blijft beïnvloeden. Noord-Amerikaanse energieorganisaties waren vorig jaar goed voor 46 procent van alle energieaanvallen, een stijging van 25 procent ten opzichte van 2021.
Azië staat bovenaan de doelwitlijst. Met bijna een derde van alle aanvallen waar X-Force in 2022 op reageerde, werden in Azië meer cyberaanvallen uitgevoerd dan in eender welke andere regio. Productiebedrijven waren vorig jaar goed voor bijna de helft van alle gevallen die in Azië werden waargenomen.
Het rapport bevat data die IBM in 2022 wereldwijd heeft verzameld om inzichtelijke informatie te leveren over het wereldwijde dreigingslandschap en de beveiligingsgemeenschap te informeren over de bedreigingen die het meest relevant zijn voor hun organisatie. Je kan hier een exemplaar van het 2023 IBM Security X-Force Threat Intelligence Report te downloaden.