Darktrace heeft in een rapport met de belangrijkste cyberdreigingen van de eerste helft van 2023 enkele van deze dreigingen geïdentificeerd als opkomende of nieuwe exploits. De meerderheid bestaat echter uit al eerder geïdentificeerde, bekende tools. Veel van deze dreigingen laten campagne-achtige activiteit zien die zijn gericht op meerdere slachtoffers.
Ransomware-as-a-Service (RaaS) is in opmars
- Ransomware-as-a-Service (RaaS) en Malware-as-a-Service (MaaS) zijn het vaakst geïdentificeerd en gemitigeerd. RaaS en MaaS zullen organisaties in de rest van 2023 en waarschijnlijk tot in 2024 hard treffen.
- Eén van de meest opvallende vormen van Ransomware-as-a-Service van het afgelopen jaar is Hive-ransomware. Hoewel RaaS-aanvallen niet op één manier worden verspreid, heeft Darktrace DETECT een aantal trends waargenomen die kenmerkend zijn voor een Hive-ransomwareaanval. De eerste toegang vindt hierbij plaats via phishing of misbruik van ongepatchte lekken in Microsoft Exchange, nog voordat er gebruik wordt gemaakt van legitieme tools om toegang te krijgen tot het netwerk. Het doel is zoveel mogelijk gegevens buit te maken en te versleutelen.
- Deze Hive-aanvallen - en veel andere soorten MaaS- en RaaS-aanvallen - worden vaak versterkt met al beschikbare tools, waaronder legitieme tools voor beveiligingstests zoals Cobalt Strike en andere toepassingen. Deze ‘Frankenstein’-aanpak neemt hoogstwaarschijnlijk toe naarmate het gebruik van open-source code en de groei van de MaaS-markt vordert.
Afwijkende activiteit in verschillende sectoren
- Darktrace's Cyber AI Analyst, onderdeel van Darktrace DETECT, heeft in de eerste helft van het jaar verschillende belangrijke afwijkende trends waargenomen. Beaconing is tussen januari en juni 2023 de meest waargenomen activiteit, wat duidt op Command and Control-activiteiten.
- Darktrace Cyber AI Analyst zag in de eerste helft van het jaar ook meer pogingen tot aanvallen bij klanten in de maakindustrie, op de voet gevolgd door de IT, de financiële sector, de zorgsector, de publieke sector en het onderwijs.
Verwachtingen
- Verlaging van de drempel: de groeiende MaaS-markt voorziet ook beginnende cybercriminelen van de tools die nodig zijn om zeer gerichte aanvallen uit te voeren. Dit leidt tot uitdagingen voor cybersecurity-teams die vaak volgens specifieke draaiboeken werken en kan grote gaten in de beveiliging tot gevolg hebben, vooral als de aanvaller legitieme, alledaagse toepassingen en tools gebruikt.
- Cascading supply chain attacks: met een groeiende pool van toeleveringsketens die mogelijk worden gemaakt door onderling verbonden en flexibele technologie, zullen cascading-aanvallen op toeleveringsketens waarschijnlijk doorgaan. Een cascading-aanval bestaat uit meederen stappen om het uiteindelijke doel te bereiken. Een voorbeeld hiervan is de 3CX-aanval die eerder dit jaar werd gerapporteerd.
- Dreigingen in de cloud nemen toe: de verschuiving naar cloud-infrastructuur heeft gezorgd voor extra risico’s. Gevoelige informatie die voorheen lokaal werd opgeslagen, is nu toegankelijk via algemene tools die overal vandaan toegankelijk zijn. Cybercriminelen weten dat. Omdat organisaties nog steeds grotendeels afhankelijk zijn van wachtwoorden voor toegang tot SaaS- en cloud-applicaties, is de kans groot dat cloud-gerichte identiteitsdiefstal een belangrijke aanvalsvector blijft.
