www.lubbersdejong.nlProgressCommunications.euwww.marcommit.nl
INFLUX PRINFLUX PRProgressCommunications.eu

x.com/ictberichten
Deel dit nu via
Datum: (3 jaar en 116 dagen geleden)
Bedrijf:

Sophos Active Adversary Playbook 2022 onthult dat hackers 36% meer tijd doorbrengen in het netwerk van een organisatie

Toename is te wijten aan misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals Initial Access Brokers

Ondanks verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers de tool vaker voor interne laterale verplaatsing

Oosterhout, 7 juni 2022Sophos, wereldwijd leider in next-generation cybersecurity, publiceert vandaag het ‘Active Adversary Playbook 2022’, dat het gedrag beschrijft van aanvallers zoals het Rapid Response-team van Sophos dit in 2021 in de praktijk heeft vastgesteld. De bevindingen tonen een toename van 36% voor wat betreft ‘Dwell Time’, de tijd die aanvallers in een netwerk van een organisatie doorbrengen voor ze worden opgemerkt. Waar de mediane dwell time van indringers in 2020 nog 11 dagen bedroeg, is dit in 2021 gestegen naar 15 dagen. Het rapport toont daarnaast de impact van ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.

“De wereld van de cybercriminaliteit is ongelooflijk divers en gespecialiseerd geworden. IAB’s hebben een kleinschalige cybercrime-industrie ontwikkeld waarbij ze inbreken bij een doelwit, de omgeving verkennen of een backdoor installeren, om vervolgens de toegang te verkopen aan ransomware-groepen die zelf een aanval willen lanceren”, zegt John Shier, senior security advisor bij Sophos. “In dit steeds dynamischer en gespecialiseerder cyberdreigingslandschapwordt het voor organisaties steeds lastiger om de wisselende tools en benaderingen van aanvallers te blijven volgen. Om aanvallen zo snel mogelijk te detecteren en neutraliseren, is het van vitaal belang dat verdedigers in elke fase van de aanvalsketen begrijpen waar ze op moeten letten.”

Het onderzoek van Sophos onthult ook een langere dwell time bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met 3.000 tot 5.000 werknemers zo’n twintig dagen doorbrachten.



“Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te komen, te pakken wat ze willen en weer te vertrekken. Kleinere organisaties zijn minder ‘waardevol’, waardoor aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen. Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het dus langer om aanvallers op te merken en uit te schakelen”, aldus Shier. “Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB’s zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn.”

Dit zijn nog andere belangrijke bevindingen uit het playbook:
  • De mediane dwell time voordat een hacker werd ontdekt, was langer voor “stealth”-inbraken die zich niet tot een grote aanval zoals ransomware hadden ontvouwd. Hetzelfde geldt voor kleinere organisaties en sectoren met minder IT-beveiligingsmiddelen. Voor organisaties die getroffen werden door ransomware, bedroeg de mediane dwell time 11 dagen. Voor bedrijven die getroffen waren door een inbraak, maar nog niet door een grote aanval zoals ransomware (23% van alle onderzochte incidenten), lag de mediane dwell time op 34 dagen. Organisaties in het onderwijs of met minder dan 500 werknemers lieten hogere tijdswaarden zien.
  • Een langere dwell time en openstaande toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Forensisch bewijsmateriaal toont situaties waarin meerdere aanvallers – waaronder IAB’s, ransomware-groepen, cryptominers en soms zelfs meerdere ransomware-aanvallers – het tegelijkertijd op dezelfde organisatie hadden gemunt.
  • Ondanks een daling in het gebruik van Remote Desktop Protocol (RDP) voor externe toegang, hebben aanvallers de tool vaker gebruikt voor interne laterale bewegingen. Waar hackers in 2020 in 32% van de geanalyseerde gevallen een beroep deden op RDP voor externe activiteit, daalde dit cijfer in 2021 naar 13%. Hoewel dit een welkome evolutie is die erop wijst dat organisaties hun externe aanvalsoppervlakken beter beheren, misbruiken aanvallers RDP nog steeds voor interne laterale bewegingen. Sophos ontdekte dat aanvallers RDP hiervoor in 2021 in 82% van de gevallen gebruikten, een stijging ten opzichte van 2020 (69%).
  • Veelvoorkomende combinaties van tools die voor aanvallen worden gebruikt, bieden een krachtig waarschuwingssignaal voor de activiteit van indringers. Uit onderzoeken naar incidenten bleek bijvoorbeeld dat PowerShell en schadelijke niet-PowerShell-scripts in 2021 in 64% van de gevallen samen werden aangetroffen. In 56% van de gevallen ging het om een combinatie van PowerShell en Cobalt Strike, terwijl PowerShell en PsExec in 51% van de cases samen zijn waargenomen. De detectie van dergelijke correlaties kan een vroegtijdige waarschuwing voor een dreigende aanval zijn of op een actieve aanval wijzen.
  • Bij 50% van de ransomware-incidenten was er sprake van bevestigde exfiltratie van data. De gemiddelde interval tussen de diefstal van gegevens en de inzet van ransomware bedroeg 4,28 dagen. Ransomware was betrokken bij 73% van de incidenten waarop Sophos in 2021 heeft gereageerd. De helft van deze ransomware-incidenten ging gepaard met data-exfiltratie. Vaak is data-exfiltratie de laatste fase van een aanval voordat ransomware wordt losgelaten. Uit onderzoek naar incidenten bleek dat er gemiddeld 4,28 dagen tussen zaten. De mediaan bedroeg 1,84 dagen.
  • Conti was de meest voorkomende ransomware-groep in 2021, goed voor 18% van alle incidenten. REvil-ransomware kwam voor bij één op tien incidenten. Andere dominante ransomware-families omvatten DarkSide, de RaaS die verantwoordelijk is voor de beruchte aanval op Colonial Pipeline in de VS, en Black KingDom, een van de “nieuwe” ransomware-families die in maart 2021 verscheen in het kielzog van de ProxyLogon-kwetsbaarheid. In de 144 incidenten uit de analyse zijn 41 verschillende ransomware-aanvallers geïdentificeerd. Ongeveer 28 hiervan waren nieuwe groepen die in 2021 voor het eerst gemeld zijn. Daarnaast zijn 18 ransomware-groepen betrokken bij incidenten uit 2020 van de lijst verdwenen.
“Alarmsignalen waar verdedigers op moeten letten zijn onder andere de detectie van een legitieme tool of combinatie van tools, of activiteit op een onverwachte plaats of een ongebruikelijk tijdstip”, zegt Shier. “Er kunnen ook momenten met weinig of geen activiteit optreden, maar dat betekent niet dat er geen sprake is van een aanval op een organisatie. Zo zijn er waarschijnlijk nog veel meer ProxyLogon- of ProxyShell-inbreuken die op dit moment onbekend zijn. Daarbij kunnen webshells en backdoors voor persistente toegang in doelwitten geïmplementeerd zijn en in stilte wachten tot die toegang gebruikt of verkocht wordt. Verdedigers moeten waakzaam zijn voor verdachte signalen en onmiddellijk een onderzoek instellen. Ze moeten kritieke bugs patchen, voornamelijk in veelgebruikte software, en de beveiliging van remote access-diensten aanscherpen. Totdat deze toegangspunten zijn afgesloten en alle sporen van aanvallers volledig zijn uitgeroeid, kan iedereen zomaar binnenkomen. En waarschijnlijk zullen ze dat ook daadwerkelijk doen.”



Het Sophos Active Adversary Playbook 2022 is gebaseerd op 144 incidenten uit 2021. Deze incidenten troffen organisaties van alle formaten en uiteenlopende industrieën. Ze bevinden zich in de VS, Canada, het VK, Duitsland, Italië, Spanje, Frankrijk, Zwitserland, België, Nederland, Oostenrijk, de Verenigde Arabische Emiraten, Saoedi-Arabië, de Filipijnen, de Bahama’s, Angola en Japan. De meest vertegenwoordigde sectoren zijn manufacturing (17%), retail (14%), gezondheidszorg (13%), IT (9%), de bouwsector (8%) en het onderwijs (6%).

Het rapport van Sophos heeft als doel securityteams te helpen begrijpen wat tegenstanders tijdens een aanval doen en hoe ze kwaadaardige activiteiten op het netwerk kunnen spotten en zich ertegen kunnen beschermen. Lees het Sophos Active Adversary Playbook 2022 op Sophos News om meer te ontdekken over de gedragingen, tools en technieken van aanvallers.

Extra bronnen:

Over Sophos
Sophos is een wereldwijde leider in next-gen cyberbeveiliging en beschermt meer dan 500.000 organisaties en miljoenen consumenten in meer dan 150 landen tegen de meest geavanceerde cyberdreigingen van vandaag. Aangedreven door threat intelligence, AI en machine learning van SophosLabs en SophosAI, levert Sophos een breed portfolio van geavanceerde producten en diensten om gebruikers, netwerken en endpoints te beveiligen tegen ransomware, malware, exploits, phishing en het brede scala aan andere cyberaanvallen. Sophos biedt een enkele geïntegreerde cloudgebaseerde beheerconsole, Sophos Central – het middelpunt van een adaptief cyberbeveiligingsecosysteem met een gecentraliseerd data lake dat gebruik maakt van een uitgebreide reeks open API's die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging. Sophos verkoopt haar producten en diensten via resellerpartners en managed service providers (MSP's) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op www.sophos.com.



Voor meer informatie
Favorite Agency
Linda van Essen, Annerieke Kamphuis
sophos@favorite.agency
Tags  
Geplaatst:
Verstreken tijd: 3 jaar en 116 dagen
Sophos Benelux contact  

Logo Sophos Benelux

Marcommit is hét full service B2B marketing bureau van Nederland! Wij helpen jouw bedrijf met offline en online marketing campagnes die écht werken.
 Spotlight  
Logo RawWorks B.V.
Logo Easystart Office
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Companial
Logo 9altitudes Nederland BV
Logo ClockAssist
Logo Human Journey
Logo The Factory
Logo Hively Nederland B.V.
Logo Reflex Online BV
Logo Awareways
Logo Decos
Logo theMatchBox
Logo Companial
Logo Networking4ALL
Logo Frontline Solutions
Logo Nautilus OT
Logo Northwave Cyber Security
Logo Techone B.V.
Logo Frontline Solutions
Logo Frontline Solutions
Logo Guardian360 bv
Logo Techone B.V.
Logo BarTrack
Logo Facilitor
Logo Twenty Four Webvertising
Logo SCOS Automaton BV
Logo SCOS Automaton BV
Logo We talk SEO B.V.
Logo myBrand
Logo Devoteam
Logo JobQ
Logo Pulse4all B.V
Logo ManageEngine
Logo Kaspersky
Logo Vultr
Logo Deel
Logo SAS Nederland
Logo Infor
Logo ThreadStone Cyber Security
Logo ilionx
Logo SureSync
Logo Ctac
Logo Bidfood
TARIEVEN
• Publicatie eenmalig €49

PUBLICATIEBUNDELS
6 voor €199
12 voor €349
Onbeperkt €499

EENMALIG PLAATSEN
Persbericht aanleveren

REGELMATIG PLAATSEN
Bedrijfsabonnement
CONTACT
Persberichten.com
JMInternet
Kuyperstraat 48
7942 BR Meppel
Nederland
info@persberichten.com
KvK 54178096

VOLGEN
@ICTBERICHTEN

ZOEKEN
IT bedrijf
IT PR-bureau
OVER ONS
Persberichten.com, hét platform voor IT/Tech persberichten

DATABASE
100687 persberichten
6762 bedrijfsprofielen
53 PR-bureauprofielen
15327 tags

KENMERKEN
• Behouden tekstopmaak
• Foto/illustratie/logo
• Downloadbare bijlages
• Profiel met socials
 
www.lubbersdejong.nlProgressCommunications.euwww.marcommit.nl
ProgressCommunications.euINFLUX PRProgressCommunications.eu