(Blog) Over de hele wereld werken cybercriminelen hard om nieuwe manieren te vinden om hun bereik te vergroten, hun aanvallen te perfectioneren en hun impact te vergroten. Volgens CrowdStrike’s Threat Hunting Report nemen deze groepen steeds aggresievere vormen aan, maken zij veelvuldig misbruik van kwetsbaarheden in systemen, en vormen zo een alsmaar toenemende bedreiging voor organisaties in heel Europa.
De gemiddelde tijd die een aanvaller nodig heeft om in te breken en zich te bewegen door het gecompromitteerde systeem daalde tot een dieptepunt van slechts 79 minuten. In 2022 hadden cybercriminelen hier nog gemiddeld 84 minuten voor nodig. Het twijfelachtige record voor de snelste inbraak staat momenteel op 7 minuten. In minder dan de tijd die het kost om even weg te lopen van je bureau en een kop koffie te zetten, had deze aanvaller zich vastgeklampt aan een host en had hij zich lateraal verplaatst door de bredere omgeving van het slachtoffer.
CrowdStrike merkte ook op dat deze incidenten vaak begonnen met een compromittering van identiteit. De aanvallers vertrouwen niet alleen op buitgemaakte inloggegevens - ze hebben laten zien dat ze misbruik kunnen maken van alle vormen van identificatie en autorisatie, inclusief zwakke inloggegevens uit het ondergrondse circuit.
Deze bevindingen herinneren ons eraan dat CISO's hun teams voortdurend moeten vragen: "Zijn we snel genoeg met het identificeren, onderzoeken en verhelpen van de bedreigingen van vandaag? Kunnen we een tegenstander binnen zeven minuten of zelfs zeven uur detecteren?"
Graag deel ik de belangrijkste trends met je uit het rapport en hoe CISO's in heel Europa zich kunnen voorbereiden op het komende jaar, nu tegenstanders steeds harder en slimmer werken.
De Europese vooruitzichten in cybersecurity
De financiële sector in Europa is bijzonder kwetsbaar en heeft de telecommunicatiesector ingehaald om de op één na meest aangevallen verticale sector te worden. Hierbij worden zij op de voet gevolgd door de technologiesector.
Intussen was de telecommunicatiesector goed voor minstens 10% van alle inbraakactiviteiten, waarbij een aanzienlijk deel van de inbraken werd toegeschreven aan Iraanse dreigingsactoren. Cobalt Strike, PsExec, ProcessHacker, Mimikatz en NetScan waren de top vijf tools die werden gebruikt bij interactieve inbraken.
Daarnaast was de overkoepelende eCrime-dreigingsactor VICE SPIDER de meest productieve in Europa, waargenomen in een alarmerende 19 sectoren.
Financiële service sector in hoogste staat van paraatheid
Het aantal interactieve inbraken in de financiële sector is het afgelopen jaar met meer dan 80% gestegen.
Daders uit Noord-Korea, met name de LABYRINTH CHOLLIMA-groep, hebben hun activiteiten tegen de financiële sector aanzienlijk opgeschroefd, waarbij ze zich vooral richten op fintech-organisaties. Ze hebben hun specifieke methoden nu ook aangepast met tools die speciaal zijn ontworpen voor Linux- en macOS-platforms.
Hoewel sommige aanvallers zich richten op overvallen op cryptocurrency en NFT, blijven de belangrijkste eCrime-bedreigingen geworteld in big game hunting (BGH) ransomware en grootschalige campagnes van datadiefstal.
Identiteitsgebaseerde inbraken nemen toe
Er is een duidelijke trend die er op wijst dat cyberaanvallers zich richten op identiteitsgebaseerde aanvallen. Bij 62% van de interactieve inbraken werden geldige accounts ingezet. Verontrustend genoeg is er een piek van 160% in pogingen om geheime sleutels en inloggegevens te bemachtigen via API's voor cloud instance metadata.
Wat bijdraagt aan de enorme explosieve groei in identiteitsgebaseerde inbraken is een toename van 583% in Kerberoasting-aanvallen, een techniek die door aanvallers kan worden misbruikt om geldige inloggegevens te verkrijgen voor Microsoft Active Directory-serviceaccounts, waardoor actoren vaak hogere bevoegdheden krijgen en langer onopgemerkt kunnen blijven in slachtofferomgevingen.
Deze techniek vormt een aanzienlijke bedreiging voor organisaties omdat aanvallers geen extra bevoegdheden nodig hebben om deze aanval uit te voeren. In het afgelopen jaar werden aanvallen op Kerberos voornamelijk in verband gebracht met eCrime-aanvallers. VICE SPIDER was opnieuw de meest prominente eCrime-aanvaller, verantwoordelijk voor 27% van alle inbraken waarbij de Kerberoasting-techniek werd ingezet.
Je kunt je niet verbergen
De bevindingen van het nieuwste Threat Hunting Report van CrowdStrike laten zien dat aanvallers in het bedreigingslandschap behendiger en vernietigend sneller zijn dan een jaar geleden. Cyberbeveiligingsteams in heel Europa moeten prioriteit geven aan intensieve samenwerking met hun partners om strategieën te ontwikkelen waarmee inbraken nog sneller worden gestopt en de tegenstander van vandaag de dag zich nergens kan verstoppen.
De toekomst van cyberbeveiliging vereist een goede samenwerking tussen mens en machine om het hoofd te kunnen bieden aan de snelheid, het volume en de toenemende geraffineerdheid van de tegenstander. Als ze correct worden uitgevoerd, kunnen teams verborgen bedreigingen snel aan het licht brengen, de besluitvaardigheid van beveiligingsanalisten versnellen en het detectieproces stroomlijnen. Bij het bestrijden van een bedreiging die in slechts zeven minuten de controle kan overnemen, is er geen ruimte om compromissen te sluiten op het gebied van beveiliging.
Zeki Turedi, Field CTO Europe, CrowdStrike