Uit nieuw onderzoek van Trend Micro blijkt dat het totaal aantal geblokkeerde dreigingen in 2023 is toegenomen met 10 procent. Het cyberbeveiligingsbedrijf waarschuwt dat aanvallers daarbij steeds geavanceerdere methoden gebruiken om slachtoffers gerichter te benaderen.
‘We blokkeren meer dreigingen dan ooit tevoren’, zegt Jon Clay, hoofd Threat Intelligence bij Trend Micro. ‘Cybercriminelen gebruiken verschillende soorten TTP’s – tactics, techniques, procedures – in hun aanvallen die verschillende niveaus laten zien, met name bij het ontwijken van de verdediging van organisaties. Ons onderzoek laat zien dat verdedigers risico’s proactief moeten beheren over het gehele aanvalsoppervlak. Het begrijpen van de strategieën die door aanvallers gebruikt worden, is de basis van een effectieve verdediging.’
Flinke stijging
Trend Micro blokkeerde 160 miljard dreigingen in 2023. Ter vergelijking: vijf jaar geleden was dat nog ‘maar’ 92 miljard. Dreigingen op basis van e-mail en webreputatie namen met respectievelijk 47 procent en 2 procent af. Dreigingen die geblokkeerd werden door de Mobile Application Reputation Service van Trend (-2 procent), Smart Home Network (-12 procent) en Internet of Things Reputation Service (-64 procent) namen ook af. Er was echter een toename zichtbaar in dreigingen die geblokkeerd werden door de File Reputation Service (FRS) van Trend.
Dit kan een indicatie zijn dat dreigingsactoren hun doelwitten zorgvuldiger kiezen. In plaats van het aanvallen van een brede groep gebruikers en hopen dat slachtoffers op kwaadaardige links klikken in websites en e-mails, richten ze zich op een kleiner aantal high-profile slachtoffers met een meer geavanceerde aanval. Hierdoor kunnen ze detectielagen zoals netwerk- en e-mailfilters omzeilen, wat de toename van het aantal detecties van kwaadaardige bestanden op endpoints zou kunnen verklaren.
Meer trends
Andere trends die naar voren komen uit het onderzoek zijn:
• APT-actoren (Advanced Persistent Threat) tonen een verscheidenheid en verfijning van hun aanvallen, vooral met betrekking tot tactieken voor het ontduiken van verdedigingen;
• email-malwaredetectie nam toe met 349 procnt op jaarbasis, terwijl kwaadaardige en phishing-URL-detectie afnam met 27 procent op jaarbasis. Dit benadrukt nogmaals de trend voor het gebruik van kwaadaardige bijlagen in aanvallen;
• Business Email Compromise (BEC)-detecties namen met 16 procent toe op jaarbasis;
• ransomware-detecties namen met 14 procent af op jaarbasis. De toename in FRS-detecties kan echter een indicatie zijn dat dreigingsactoren beter worden in het omzeilen van detectie via technieken zoals Living-Off-The-Land Binaries en Scripts (Lolbins/Lolba’s), Bring Your Own Vulnerable Driver (Byovd), zero-day exploits en AV-termination;
• Linux- en MacOS ransomware-aanvallen waren goed voor 8 procent van het totaal aantal ransomware-detecties;
• er was een toename in remote encryptie, intermittent encryptie, EDR-bypass met gebruik van ongemonitorde virtuele machines (VM’s) en multi-ransomware-aanvallen waarbij slachtoffers vaker dan een keer geraakt werden. Aanvallers erkennen EDR als een goede verdediging, maar gebruiken nu bypass-tactieken om deze technologie te omzeilen;
• de meeste slachtoffers van ransomware bevinden zich in Thailand en de VS. De banksector werd het vaakst getroffen;
• de top MITRE ATT&CK-detecties zijn het omzeilen van verdedigingen, command & control, initiële toegang, persistance en impact;
• risicovolle toegang tot cloud apps was het grootste risico dat gedetecteerd werd door de attacks surface risk management (ASRM)-oplossing van Trend met bijna 83 miljard incidenten;
• het Zero Day Initiative van Trend ontdekte en vermeldde 1914 zero-days, een toename van 12 procent op jaarbasis. Dit omvat 111 Adobe Acrobat- en Reader bugs. Adobe was de leverancier die het vaakst voorkwam bij het rapporteren van kwetsbaarheden en PDF’s waren het #1 spam-type;
• Windows-applicaties vormden de top drie van kwetsbaarheden die werden uitgebuit via detecties van onze virtuele patches;
• Mimikatz (gebruikt bij het verzamelen van gegevens) en Cobalt Strike (gebruikt bij Command & Control) bleven de geprefereerde legitieme instrumenten om te misbruiken om criminele activiteiten te ondersteunen.
Aanbevelingen
Op basis van deze resultaten adviseert Trend Micro beveiligingsteams om de volgende acties te ondernemen:
• werk samen met vertrouwde beveiligingsleveranciers en gebruik een platformbenadering om ervoor te zorgen dat bronnen niet alleen worden beveiligd, maar ook continu worden gecontroleerd op nieuwe kwetsbaarheden;
• geef prioriteit aan de efficiënte inzet van security operation centers door cloudapplicaties zorgvuldig te monitoren, zeker naarmate deze nauwer worden geïntegreerd in de dagelijkse bedrijfsvoering;
• zorg ervoor dat alle nieuwe patches/upgrades zijn toegepast op besturingssystemen en applicaties;
• gebruik uitgebreide beveiligingsprotocollen om de organisatie te beschermen tegen kwetsbaarheden, verscherp de configuratie-instellingen, controleer de toegang tot applicaties en verbeter de account- en apparaatbeveiliging. Probeer ransomware-aanvallen eerder in de aanvalscyclus te detecteren door aanvallers te misleiden tijdens de fasen van initiële toegang, laterale bewegingen en data-exfiltratie.
Het Annual Cybersecurity Threat Report is voor eenieder beschikbaar.