Uit het 2024 Annual Threat Report van Darktrace, leider in AI voor cybersecurity, blijkt dat Malware-as-a-Service (MaaS) nu verantwoordelijk is voor meer dan de helft (57%) van alle cyberdreigingen voor organisaties. Dit markeert de voortdurende groei van Cybercrime-as-a-Service (CaaS) modellen.
Deze inzichten zijn waargenomen door Darktrace’s Threat Research-team met behulp van zijn unieke Self-Learning AI in zijn klantenbestand van bijna 10.000 klanten verspreid over alle grote industrieën wereldwijd. Ze beschrijven een veranderend dreigingslandschap dat steeds complexer wordt, gekenmerkt door toenemende verfijning van veelvoorkomende dreigingen.
Cybercrime-as-a-Service-dreigingen blijven bestaan
De hardnekkigheid van CaaS-modellen, met name Ransomware-as-a-Service (RaaS) en MaaS neemt snel toe nu minder ervaren dreigingsactoren toegang krijgen tot nieuwe tools om ontwrichtende aanvallen uit te voeren. Volgens het rapport steeg het gebruik van MaaS-tools in de tweede helft van 2024 met 17%, van 40% in de eerste zes maanden tot 57% aan het eind van het jaar.
Het gebruik van Remote Access Trojans (RAT’s) nam ook aanzienlijk toe in de tweede helft van het jaar en vertegenwoordigde 46% van de geïdentificeerde campagneactiviteit, vergeleken met slechts 12% in de eerste helft. Met RAT’s kunnen aanvallers een geïnfecteerd apparaat op afstand te besturen, waardoor ze verdere kwaadaardige activiteiten kunnen uitvoeren, zoals het exfiltreren van gegevens, diefstal van inloggegevens of surveillance.
Het Threat Research-team van Darktrace volgde verschillende ransomware-dreigingen die klanten troffen, van nieuwe dreigingen zoals Lynx tot opnieuw opkomende dreigingen zoals Akira, RansomHub, Black Basta, Fog en Qilin. Hoewel deze groepen vaak phishing als aanvalsvector gebruiken, is er ook een verschuiving naar geavanceerdere technieken. Deze omvatten het gebruik van legitieme tools zoals AnyDesk en Atera om command and control (C2)-communicatie te maskeren, LOTL-technieken voor laterale verplaatsing, data-exfiltratie naar veelgebruikte cloudopslagservices en het gebruik van bestandsoverdrachttechnologie voor snelle exploitatie en dubbele afpersingsmethoden.
Postvakken onder vuur
Phishing blijft de favoriete techniek van aanvallers. Tussen december 2023 en december 2024 zijn meer dan 30,4 miljoen phishing-e-mails gedetecteerd in het klantenbestand van Darktrace. De waargenomen technieken benadrukken hoe dreigingsactoren steeds gerichtere en geavanceerdere e-mails samenstellen om het succes van hun campagnes te verbeteren. Dit zijn de meest opvallende cijfers:
– 38% waren spear-phishingpogingen, op maat gemaakte aanvallen op waardevolle personen.
– 32% gebruikte nieuwe social engineeringtechnieken zoals QR-codes en door AI gegenereerde tekst.
– 70% omzeilde succesvol de veelgebruikte DMARC-authenticatiebenadering.
– 55% passeerde alle bestaande beveiligingslagen vóór Darktrace-detectie.
Darktrace observeerde verder een toename van dreigingsactoren die misbruik maken van services van derden waarop werknemers doorgaans vertrouwen, zoals Zoom Docs, QuickBooks, HelloSign, Adobe en Microsoft SharePoint, om phishing-e-mails te versturen. Door vertrouwde platforms en domeinen te gebruiken kunnen kwaadwillende actoren traditionele beveiligingsmaatregelen omzeilen en de kans vergroten dat hun phishingpogingen succesvol zijn. Deze inspanningen benadrukken hoe dreigingsactoren zich voortdurend aanpassen om gelijke tred te houden met de opkomst van nieuwe technologieën.
Nathaniel Jones, VP, Security and AI Strategy, Darktrace, merkt op: “E-mail staat voorop in de evoluerende dreigingen die we in het dreigingslandschap zien. Ransomware-as-a-Service-tools, gecombineerd met het toenemende gebruik van AI, stellen zelfs laaggeschoolde aanvallers in staat om overtuigende, gerichte e-mailaanvallen op grote schaal uit te voeren. Dit maakt het moeilijker dan ooit voor traditionele beveiligingsmaatregelen om bij te blijven.”
Detectie omzeilen via kwetsbaarheden in edge-apparatenen LOTL-technieken
Dreigingsactoren richten zich steeds meer op het ontwijken van detectie in plaats van het veroorzaken van verstoring. Hiervoor gebruiken ze vaak kwetsbaarheden in edge-, perimeter- of internetgerichte apparaten om initiële toegang tot netwerken te krijgen. Vervolgens worden LOTL-technieken – het kwaadaardige gebruik van legitieme tools die op een systeem aanwezig zijn – gebruikt om onopgemerkt te blijven.
De belangrijkste campagnes die in 2024 werden waargenomen, betroffen aanhoudende kwetsbaarheden in edge- en perimeternetwerktechnologieën. 40% van de geïdentificeerde campagneactiviteit in de eerste helft van het jaar betrekking had betrekking op de exploitatie van internetgerichte apparaten. Enkele van de meest voorkomende exploitaties betroffen Ivanti Connect Secure (CS) en Ivanti Policy Secure (PS)-apparaten, Palo Alto Network (PAN-OS)-firewallapparaten en Fortinet-apparaten. Darktrace detecteerde bijvoorbeeld al op 26 maart, 17 dagen vóór de openbare bekendmaking op 12 april, afwijkende kwaadaardige activiteiten van Palo Alto-firewallapparaten op netwerken van klanten. Dit wordt nu erkend als bewijs van PAN-OS-exploitatie.
Daarnaast heeft Darktrace waargenomen dat dreigingsactoren steeds vaker gestolen inloggegevens gebruiken om in te loggen op oplossingen voor externe netwerktoegang, zoals VPN’s. Na initiële toegang gebruiken dreigingsactoren legitieme tools en processen om hun doelen te bereiken terwijl ze onopgemerkt blijven.
Veel traditionele tools hebben moeite om deze aanvallen te identificeren en te stoppen, omdat het onderscheid maken tussen legitiem gebruik door beheerders en kwaadaardig gebruik door aanvallers een uitdaging is zonder een vastgestelde baseline van normaal gebruikersgedrag. Hoewel ze vaak worden gebruikt door meer geavanceerde actoren zoals Advanced Persistent Threats (APT’s), profiteren kleinere cybercriminelen ook van het exploiteren van native tools. Zo besparen ze onder meer geld doordat het ontwikkelen van custom malware, die mogelijk wordt geblokkeerd door traditionele beveiligingstools zodra indicators of compromise (IoC’s) worden gepubliceerd, niet langer nodig is.
“De combinatie van Cybercrime-as-a-Service, automatisering en AI zorgt ervoor dat de geavanceerdheid en diversiteit van aanvalstechnieken sneller dan ooit toeneemt – van phishing-campagnes met AI-ondersteuning tot evoluerende ransomwaredreigingen”, aldus Jones. “Het is niet langer voldoende om dreigingen te detecteren en erop te reageren. Organisaties moeten prioriteit geven aan cyberweerbaarheid door proactief zwakke plekken in systemen, mensen en data aan te pakken voordat aanvallers ze kunnen uitbuiten.”
Download het Darktrace 2024 Annual Threat Report voor meer informatie.
Meer lezen
