Cybercriminelen blijven langer in een bedrijfsnetwerk voor ze toeslaan

Gepubliceerd op 10 juni 2022 om 07:00

Cybercriminelen brengen 36 procent meer tijd door in het netwerk van een organisatie dan een jaar geleden. Deze toename is te wijten aan het misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals van Initial Access Brokers. Ondanks een verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers deze tool vaker voor zogeheten interne laterale verplaatsing. Dat blijkt uit het ‘Active Adversary Playbook 2022’ van security-aanbieder Sophos.

Gedrag van aanvallers

Active Adversary Playbook 2022 beschrijft het gedrag van aanvallers zoals het Rapid Response-team van Sophos dit in 2021 in de praktijk heeft vastgesteld. De bevindingen tonen een toename van 36 procent in ‘Dwell Time’. Waar de mediane dwell time van indringers in 2020 nog 11 dagen bedroeg, is dit in 2021 gestegen naar 15 dagen.

Dwell time?

Is de tijd die aanvallers in een netwerk van een organisatie doorbrengen voor ze worden opgemerkt.

Het rapport toont daarnaast de impact van ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.

Divers en gespecialiseerd geworden

“De wereld van de cybercriminaliteit is ongelooflijk divers en gespecialiseerd geworden", zegt John Shier, senior security advisor bij Sophos. "IAB’s hebben een kleinschalige cybercrime-sector ontwikkeld waarbij ze inbreken bij een doelwit, de omgeving verkennen of een backdoor installeren, om vervolgens de toegang te verkopen aan ransomware-groepen die zelf een aanval willen lanceren."

In dit steeds dynamischer en gespecialiseerder cyberdreigingslandschap wordt het volgens Shier voor organisaties steeds lastiger om de wisselende tools en benaderingen van aanvallers te blijven volgen. Om aanvallen zo snel mogelijk te detecteren en neutraliseren, is het van vitaal belang dat verdedigers in elke fase van de aanvalsketen begrijpen waar ze op moeten letten.

MKB bedrijven

Het onderzoek van Sophos schetst ook een langere 'dwell time' bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met 3.000 tot 5.000 werknemers zo’n twintig dagen doorbrachten.

Shier hierover: “Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te komen, te pakken wat ze willen en weer te vertrekken. Kleinere organisaties zijn minder ‘waardevol’, waardoor aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen."

Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het dus langer om aanvallers op te merken en uit te schakelen, aldus Shier. “Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB’s zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn.”

Andere bevindingen uit het rapport

  • De mediane dwell time voordat een hacker werd ontdekt, was langer voor 'stealth'-inbraken die zich niet tot een grote aanval zoals ransomware hadden ontvouwd. Hetzelfde geldt voor kleinere organisaties en sectoren met minder IT-beveiligingsmiddelen. Voor organisaties die getroffen werden door ransomware, bedroeg de mediane dwell time 11 dagen. Voor bedrijven die getroffen waren door een inbraak, maar nog niet door een grote aanval zoals ransomware (23% van alle onderzochte incidenten), lag de mediane dwell time op 34 dagen. Organisaties in het onderwijs of met minder dan 500 werknemers lieten hogere tijdswaarden zien.
  • Een langere dwell time en openstaande toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Forensisch bewijsmateriaal toont situaties waarin meerdere aanvallers – waaronder IAB’s, ransomware-groepen, cryptominers en soms zelfs meerdere ransomware-aanvallers – het tegelijkertijd op dezelfde organisatie hadden gemunt.
  • Ondanks een daling in het gebruik van Remote Desktop Protocol (RDP) voor externe toegang, hebben aanvallers de tool vaker gebruikt voor interne laterale bewegingen. Waar hackers in 2020 in 32 procent van de geanalyseerde gevallen een beroep deden op RDP voor externe activiteit, daalde dit in 2021 naar 13 procent. Hoewel dit een welkome evolutie is die erop wijst dat organisaties hun externe aanvalsoppervlakken beter beheren, misbruiken aanvallers RDP nog steeds voor interne laterale bewegingen. Sophos ontdekte dat aanvallers RDP hiervoor in 2021 in 82 procent van de gevallen gebruikten, een stijging ten opzichte van 2020 (69%).
  • Veel voorkomende combinaties van tools die voor aanvallen worden gebruikt, bieden een krachtig waarschuwingssignaal voor de activiteit van indringers. Uit onderzoeken naar incidenten bleek bijvoorbeeld dat PowerShell en schadelijke niet-PowerShell-scripts in 2021 in 64 procent van de gevallen samen werden aangetroffen. In 56 procent van de gevallen ging het om een combinatie van PowerShell en Cobalt Strike, terwijl PowerShell en PsExec in 51 procent van de cases samen zijn waargenomen. De detectie van dergelijke correlaties kan een vroegtijdige waarschuwing voor een dreigende aanval zijn of op een actieve aanval wijzen.
  • Bij 50 procent van de ransomware-incidenten was er sprake van bevestigde exfiltratie van data. De gemiddelde interval tussen de diefstal van gegevens en de inzet van ransomware bedroeg 4,28 dagen. Ransomware was betrokken bij 73% van de incidenten waarop Sophos in 2021 heeft gereageerd. De helft van deze ransomware-incidenten ging gepaard met data-exfiltratie. Vaak is data-exfiltratie de laatste fase van een aanval voordat ransomware wordt losgelaten. Uit onderzoek naar incidenten bleek dat er gemiddeld 4,28 dagen tussen zaten. De mediaan bedroeg 1,84 dagen.

Meest voorkomende ransomware-groep

Conti was de meest voorkomende ransomware-groep in 2021, goed voor 18 procent van alle incidenten. REvil-ransomware kwam voor bij één op tien incidenten. Andere dominante ransomware-families omvatten DarkSide, de RaaS die verantwoordelijk is voor de beruchte aanval op Colonial Pipeline in de VS, en Black KingDom, een van de 'nieuwe' ransomware-families die in maart 2021 verscheen in het kielzog van de ProxyLogon-kwetsbaarheid.

In de 144 incidenten uit de analyse zijn 41 verschillende ransomware-aanvallers geïdentificeerd. Ongeveer 28 hiervan waren nieuwe groepen die in 2021 voor het eerst gemeld zijn. Daarnaast zijn 18 ransomware-groepen betrokken bij incidenten uit 2020 van de lijst verdwenen.

“Alarmsignalen waar verdedigers op moeten letten zijn onder andere de detectie van een legitieme tool of combinatie van tools, of activiteit op een onverwachte plaats of een ongebruikelijk tijdstip”, licht Shier toe. “Er kunnen ook momenten met weinig of geen activiteit optreden, maar dat betekent niet dat er geen sprake is van een aanval op een organisatie. Zo zijn er waarschijnlijk nog veel meer ProxyLogon- of ProxyShell-inbreuken die op dit moment onbekend zijn. Daarbij kunnen webshells en backdoors voor persistente toegang in doelwitten geïmplementeerd zijn en in stilte wachten tot die toegang gebruikt of verkocht wordt."

Waakzaam blijven

Verdedigers moeten waakzaam zijn voor verdachte signalen en onmiddellijk een onderzoek instellen, benadrukt Shier. Ze moeten kritieke bugs patchen, voornamelijk in veelgebruikte software, en de beveiliging van remote access-diensten aanscherpen. "Totdat deze toegangspunten zijn afgesloten en alle sporen van aanvallers volledig zijn uitgeroeid, kan iedereen zomaar binnenkomen. En waarschijnlijk zullen ze dat ook daadwerkelijk doen.” De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Over het onderzoek

Het 'Sophos Active Adversary Playbook 2022' is gebaseerd op 144 incidenten uit 2021. Deze incidenten troffen organisaties van alle formaten en uiteenlopende industrieën. Ze bevinden zich in de VS, Canada, het VK, Duitsland, Italië, Spanje, Frankrijk, Zwitserland, België, Nederland, Oostenrijk, de Verenigde Arabische Emiraten, Saoedi-Arabië, de Filipijnen, de Bahama’s, Angola en Japan. De meest vertegenwoordigde sectoren zijn manufacturing (17%), retail (14%), gezondheidszorg (13%), IT (9%), de bouwsector (8%) en het onderwijs (6%).

The Active Adversary Playbook 2022
PDF – 770,0 KB 151 downloads

Bron: sophos.com, dutchitchannel.nl

Apple: “Installeer per direct de beveiligingsupdate”

Software- en elektronicagigant Apple roept gebruikers van iPhones, MacBooks, iPads en horloges op om zo spoedig mogelijk een beveiligingsupdate te installeren. Dat heeft alles te maken met een ernstig beveiligingslek in de iMessage-app: het was mogelijk om zonder enige interactie van de gebruiker de zogenaamde Pegasus-spyware te installeren. Daarmee kunnen foto's en e-mails worden gestolen, maar ook de microfoon en camera kunnen op afstand worden ingeschakeld.

Lees meer »

Hoe hackers al uw sms-berichten kunnen zien en 2FA-beveiliging kunnen omzeilen

Voor een veilige toegang tot online diensten van vandaag is het niet voldoende om alleen een login en een sterk wachtwoord te gebruiken. Een recent onderzoek heeft uitgewezen dat meer dan 80% van alle hack aanvallen te wijten zijn aan zwakke wachtwoorden. Daarom is het gebruik van tweefactorauthenticatie (2FA) een noodzaak geworden. Het biedt een extra beveiligingslaag. Volgens de gegevens blokkeren gebruikers die 2FA inschakelen ongeveer 99,9% van de geautomatiseerde aanvallen. 

Lees meer »

"Criminelen spelen handig in op de behoefte om overal maar online te zijn"

Inloggen op een website, terwijl je verbinding maakt met een openbare wifi-verbinding. De meeste Nederlanders kennen de risico’s, toch past het merendeel z’n surfgedrag niet aan. Vooral jongeren zijn laks. Dat blijkt uit onderzoek van VPN.nl onder 1.075 Nederlanders, uitgevoerd door Panelwizard. Alleen in Nederland zijn er al zo’n 2 miljoen gratis wifi-hotspots, bijvoorbeeld bij treinstations, luchthavens, hotels, campings en horecagelegenheden.

Lees meer »

Energietransite biedt kansen voor hackers

De overgang naar een duurzame energievoorziening maakt het Nederlandse stroomnet kwetsbaarder voor hackers. Als zij zonnepanelen en laadpalen hacken, kan dat grote maatschappelijke en economische gevolgen hebben. Extra toezicht moet problemen voorkomen.

Lees meer »

Pas op met "updaten van Kaseya"

Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.

Lees meer »

2 juli 2021: '721' grootste ransomware aanvallen ooit

Duizenden bedrijven in minstens zeventien landen zijn het afgelopen weekend getroffen door een massale aanval met gijzelsoftware. Het gaat om een van de grootste ransomware-aanvallen ooit. Ook een aantal Nederlandse bedrijven is getroffen. Ze worden door de politie benaderd.

Lees meer »

Computersystemen Nederlandse politie, “Het enige wat we zeker wisten: de Russen zijn binnen”

In 2017 wisten Russische hackers diep binnen te dringen in de computersystemen van de Nederlandse politie. Die had op dat moment zijn handen vol met het strafrechtelijk onderzoek naar het neerschieten van vlucht MH17. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) kwam de hack op het spoor. Deze ontdekking leidde tot ‘grote paniek’. Of en welke informatie door de hackers is buitgemaakt, is onbekend.

Lees meer »

Operatie Trojan Shield groot succes 800 aanhoudingen

De FBI heeft wereldwijd 800 man gearresteerd en bijna 50 miljoen dollar in beslag genomen. Daarvoor luisterde de Amerikaanse handhavings- en opsporingsdienst achttien maanden lang versleutelde communicatie van criminelen af. De arrestaties zijn verricht in zestien landen, waaronder Nederland.

Lees meer »

WhatsApp gehackt, dat overkomt mij niet

Cybercriminelen slaagden er afgelopen jaar in om de WhatsApp-accounts van verschillende politici over te nemen. Het gaat om de accounts van leden van de Eerste en Tweede Kamer, Hoge Colleges van Staat en ambtenaren van meerdere ministeries. De oplichters probeerden op deze manier geld te verdienen, maar er hadden ook vertrouwelijke gegevens buitgemaakt kunnen worden.

Lees meer »