In het 2023 End of Year Threat Report van Dartraceuitgebracht, worden de belangrijkste bedreigingen en aanvalsmethoden geïdentificeerd waarmee bedrijven de afgelopen zes maanden werden geconfronteerd. Deze inzichten, waargenomen door de zelflerende AI van Darktrace binnen zijn klantenbestand, werpen licht op snelle verschuivingen in het cybersecurity-landschap en op nieuwe technieken die worden toegepast door aanvallers die proberen traditionele verdedigingen te omzeilen.
Uit de bevindingen blijkt dat as-a-service-aanvallen het dreigingslandschap blijven domineren, waarbij Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS)-tools het meest worden ingezet. As-a-Service-tools kunnen aanvallers voorzien van kant-en-klare malware, sjablonen voor phishing-e-mails, betalingsverwerkingssystemen en hulplijnen, zodat zelfs criminelen met beperkte technische kennis aanvallen kunnen uitvoeren.
De meest voorkomende as-a-Service-tools waren:
- Malware-loaders (77% van de onderzochte bedreigingen), die andere vormen van malware kunnen leveren en uitvoeren en aanvallers in staat stellen zich herhaaldelijk op getroffen netwerken te richten.
- Cryptominers (52% van de onderzochte bedreigingen), die een geïnfecteerd apparaat gebruiken om cryptocurrency te minen.
- Botnets (39% van de onderzochte bedreigingen), registreren gebruikers in netwerken van geïnfecteerde apparaten, die aanvallers vervolgens kunnen gebruiken bij grootschalige aanvallen op andere doelen.
- Informatiestelende malware (36% van de onderzochte bedreigingen), kwaadaardige software zoals spyware of wormen, ontworpen om in het geheim toegang te krijgen tot gevoelige gegevens van de computer of het netwerk van een slachtoffer en deze te verzamelen.
- Proxybotnets (15% van de onderzochte bedreigingen), meer geavanceerde botnets die proxy's gebruiken om de ware bron van hun activiteiten te verbergen.
Uit het rapport blijkt ook dat er een wisseling van de wacht heeft plaatsgevonden. In zijn ‘First 6: Half-Year Threat Report’ identificeerde Darktrace de Hive-ransomware als een van de grootste Ransomware-as-a-Service-aanvallen. Met de ontmanteling van Hive door de Amerikaanse overheid in januari 2023 observeerde Darktrace de snelle groei van een reeks nieuwe bedreigingen die de leemte opvullen, waaronder ScamClub, een malvertising actor die berucht is vanwege het verspreiden van valse viruswaarschuwingen naar belangrijke nieuwssites, en AsyncRAT, verantwoordelijk voor het aanvallen van Amerikaanse infrastructuurmedewerkers in de afgelopen maanden.
Geavanceerde oplossingen omzeilen conventionele beveiligingsmaatregelen
Terwijl bedrijven voor hun communicatie afhankelijk blijven van e-mail en samenwerkingstools, blijven methoden zoals phishing beveiligingsteams hoofdpijn bezorgen. Darktrace heeft tussen 1 september en 31 december 2023 10,4 miljoen phishing-e-mails gedetecteerd binnen zijn klantenbestand. Maar het rapport benadrukt ook hoe cybercriminelen steeds geavanceerdere tools en tactieken omarmen die zijn ontworpen om traditionele beveiligingsparameters te omzeilen. Een voorbeeld is de opkomst van Microsoft Teams-phishing, waarbij aanvallers via Teams contact opnemen met werknemers, zich voordoen als een collega en hen ertoe verleiden op kwaadaardige links te klikken. In één geval in september 2023 identificeerde Darktrace een vermoedelijke Teams-phisher die had geprobeerd om gebruikers te misleiden zodat ze op een SharePoint-link klikten die de DarkGate-malware zou downloaden en ander vormen van malware over het netwerk zou verspreiden.
Een andere nieuwe trend die is geïdentificeerd, is de groei van malware die is ontwikkeld met meerdere functies om maximale schade aan te richten. Deze bedreigingen in de vorm van een Zwitsers zakmes worden vaak ingezet door geavanceerde groepen zoals cyberkartels en combineren mogelijkheden. De recente Black Basta-ransomware verspreidt bijvoorbeeld ook de banktrojan Qbot voor diefstal van inloggegevens. Met dergelijke multitasking-malware proberen aanvallers meer rendement te genereren uit infecties.
“Gedurende 2023 hebben we een aanzienlijke ontwikkeling en evolutie van malware- en ransomware-bedreigingen waargenomen, evenals veranderende tactieken en technieken van aanvallers als gevolg van innovatie in de technologie-industrie als geheel, waaronder de opkomst van generatieve AI. Tegen deze achtergrond zijn de breedte, reikwijdte, en de complexiteit van de bedreigingen waarmee organisaties worden geconfronteerd aanzienlijk toegenomen", zegt Hanah Darley, Director of Threat Research bij Darktrace. "Beveiligingsteams worden geconfronteerd met een zware strijd om aanvallers voor te blijven, en hebben een beveiligingsstack nodig die hen op de hoogte houdt van nieuwe aanvallen en niet een die dreigementen van gisteren najaagt.”