Breda, 17 november 2022 –
Sophos, een wereldleider in het innoveren en leveren van next-generation cybersecurity as a service, heeft vandaag zijn
Threat Report 2023 gepubliceerd. Het rapport beschrijft hoe het cyberdreigingslandschap een nieuw niveau van commercialisering en gemak heeft bereikt voor potentiële aanvallers door de uitbreiding van cybercrime-as-a-service, waardoor nu bijna iedereen toegang heeft tot het plegen van cybercriminaliteit. Het rapport beschrijft ook hoe ransomware voor organisaties een van de grootste cyberdreigingen blijft met zwendelaars die hun afpersingstactieken innoveren, en hoe de vraag naar gestolen inloggegevens blijft groeien.
Criminele ondergrondse marktplaatsen zoals
Genesis hebben het lang mogelijk gemaakt om malware en diensten om zelf malware te maken (‘malware-as-a-service’) te kopen, of om
gestolen inlog- en andere gegevens in bulk te verkopen. In de afgelopen tien jaar, met de toenemende populariteit van ransomware, ontstond er een heuse ‘
ransomware-as-a-service’-economie. Nu, in 2022, is dit ‘as-a-service’-model uitgebreid en is bijna elk aspect van de cybercrime toolkit – van de eerste besmetting tot manieren om detectie te voorkomen – te koop.
“Er worden niet alleen de gebruikelijke malware-, zwendel- en phishing-kits te koop aangeboden", zegt Sean Gallagher, hoofdonderzoeker bedreigingen bij Sophos. “Cybercriminelen van een hoger niveau verkopen nu ook tools en mogelijkheden die ooit enkel in handen waren van de meest geavanceerde aanvallers als service aan andere actoren. Vorig jaar zagen we bijvoorbeeld advertenties voor OPSEC-as-a-service, waarbij de verkopers aanboden om aanvallers te helpen bij het verbergen van Cobalt Strike-besmettingen. Ook zagen we scanning-as-a-service, waarmee kopers toegang krijgen tot legitieme commerciële tools als Metasploit om zwakke plekken op te sporen en die vervolgens uit te buiten. De commoditisering van bijna elk onderdeel van cybercriminaliteit heeft een invloed op het dreigingslandschap en biedt interessante kansen voor elk type aanvaller met elk type vaardigheidsniveau.”
Met de uitbreiding van de ‘as-a-service’-economie worden ondergrondse marktplaatsen voor cybercriminaliteit steeds meer gecommercialiseerd en werken ze als reguliere bedrijven. Verkopers van cybercriminaliteit maken niet alleen reclame voor hun diensten, maar bieden ook vacatures aan om aanvallers met specifieke vaardigheden aan te werven. Sommige marktplaatsen hebben speciale pagina’s voor het zoeken naar hulp en het aanwerven van personeel, terwijl werkzoekenden er samenvattingen van hun vaardigheden en kwalificaties posten.
“De eerste leveranciers van ransomware waren eerder beperkt in wat ze konden doen omdat hun activiteiten gecentraliseerd waren; de groepsleden voerden elk aspect van een aanval uit. Maar naarmate ransomware steeds winstgevender werd, zochten ze naar manieren om hun producties op te schalen. Ze begonnen daarom delen van hun activiteiten uit te besteden, waardoor ze een volledige infrastructuur creëerden om ransomware te ondersteunen. Nu laten andere cybercriminelen zich inspireren door het succes van die infrastructuur en volgen ze dit voorbeeld", aldus Gallagher.
Naarmate de infrastructuur voor cybercriminaliteit zich uitbreidde, bleef ransomware zeer populair – en zeer winstgevend. Het afgelopen jaar hebben ransomware-zwendelaars hun potentiële aanvalsservice verder uitgebreid door zich te richten op andere platformen dan Windows, en door nieuwe programmeertalen te gebruiken zoals Rust en Go om detectie te voorkomen. Sommige groepen, vooral Lockbit 3.0, hebben hun activiteiten gediversifieerd en ‘innovatievere’ manieren gecreëerd om slachtoffers af te persen.
“Als we het hebben over de toenemende complexiteit van de criminele onderwereld, strekt dit zich uit tot de wereld van ransomware. Lockbit 3.0 biedt nu bijvoorbeeld ‘bug bounty’-programma's voor zijn malware, en 'crowd-sourcing'-ideeën om zijn activiteiten van de criminele gemeenschap te verbeteren. Andere groepen zijn overgestapt op een 'abonnementsmodel' voor toegang tot hun informatie over lekken en nog weer anderen veilen het. Ransomware is in de eerste plaats een business geworden”, zegt Gallagher.
De evoluerende economie van de onderwereld heeft niet alleen de groei van ransomware en de ‘as-a-service’-industrie bevorderd, maar ook de vraag naar diefstal van inloggegevens doen toenemen. Met de uitbreiding van webdiensten kunnen verschillende soorten inloggegevens, vooral cookies, op tal van manieren worden gebruikt om een voet aan de grond te krijgen in netwerken, zelfs met omzeilen van MFA. Diefstal van inloggegevens blijft ook een van de gemakkelijkste manieren voor beginnende criminelen om toegang te krijgen tot ondergrondse marktplaatsen en hun 'loopbaan' te beginnen.
Sophos heeft ook de volgende trends geanalyseerd:
- De oorlog in Oekraïne heeft wereldwijde gevolgen voor het cyberdreigingslandschap. Direct na de invasie was er een explosie van financieel gemotiveerde zwendelpraktijken, terwijl nationalisme een reorganisatie van criminele samenwerkingsverbanden tussen Oekraïners en Russen met zich meebracht, vooral onder ransomware-partners.
- Criminelen blijven legitieme executables benutten en ‘living off the land binaries’ (LOLBins) gebruiken om verschillende soorten aanvallen uit te voeren, inclusief ransomware. In sommige gevallen maken aanvallers gebruik van legitieme maar kwetsbare stuurprogramma’s bij ‘ bring your own driver’-aanvallen om eindpuntdetectie en responsproducten uit te schakelen en zo detectie te ontwijken.
- Mobiele apparaten zijn nu het middelpunt van nieuwe soorten cybercriminaliteit. Niet alleen gebruiken aanvallers nog steeds nep-applicaties om malware-injectoren, spyware en bankgerelateerde malware te leveren, maar nieuwere vormen van cyberfraude, zoals ‘pig butchering’, worden steeds populairder. En naast Android-gebruikers worden nu ook iOS-gebruikers getroffen.
- De devaluatie van Monero, een van de populairste cryptomunten voor cryptominers, leidde tot een daling van een van de oudste en populairste vormen van cryptocriminaliteit, nl. cryptomining. Maar mining-malware blijft zich verspreiden via geautomatiseerde ‘bots’, zowel op Windows- als Linux-systemen.
Lees het volledige Threat Report 2023 van Sophos voor meer informatie over het veranderende dreigingslandschap in 2022 en wat dit betekent voor beveiligingsteams in 2023.
Het
Threat Report 2023 van Sophos omvat onderzoek en inzichten van Sophos X-Ops, een nieuwe, cross-operationele eenheid die drie gevestigde teams van cyberbeveiligingsexperts bij Sophos (SophosLabs, Sophos SecOps en Sophos AI) samenbrengt. Sophos X-Ops telt meer dan 500 cyberbeveiligingsexperts over de hele wereld die uniek zijn toegerust om een volledig, multidisciplinair beeld van een steeds complexer dreigingslandschap te bieden. Volg voor meer informatie over dagelijkse cyberaanvallen en TTP’s Sophos X-Ops op
Twitter en
abonneer u op actuele artikelen en rapporten over dreigingsonderzoek en beveiligingsactiviteiten en rapporten van de frontlinie van cyberbeveiliging.
Over Sophos
Sophos is een wereldwijde leider en innovator van geavanceerde cyberbeveiligingsoplossingen, waaronder Managed Detection and Response (MDR), incidentresponsservices en een breed portfolio van endpoint-, netwerk-, e-mail- en cloudbeveiligingstechnologieën die organisaties helpen cyberaanvallen te verslaan. Als een van de grootste pure-play aanbieders van cyberbeveiliging verdedigt Sophos meer dan 500.000 organisaties en meer dan 100 miljoen gebruikers wereldwijd tegen kwaadwillenden, ransomware, phishing, malware en meer. De diensten en producten van Sophos zijn verbonden via de cloudgebaseerde beheersconsole Sophos Central en worden mogelijk gemaakt door Sophos X-Ops, de domeinoverschrijdende bedreigingsinformatie-eenheid van het bedrijf. Sophos X-Ops-intelligentie verrijkt het hele Sophos Adaptive Cybersecurity Ecosystem, inclusief een gecentraliseerd data lake dat gebruikmaakt van een uitgebreide reeks open API's die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging en informatietechnologie. Sophos biedt cybersecurity-as-a-service aan organisaties die volledig beheerde, kant-en-klare beveiligingsoplossingen nodig hebben. Klanten kunnen hun cyberbeveiliging ook rechtstreeks beheren met het beveiligingsoperatieplatform van Sophos of een hybride aanpak gebruiken door hun interne teams aan te vullen met de diensten van Sophos, waaronder het opsporen en verhelpen van bedreigingen. Sophos verkoopt via resellerpartners en managed service providers (MSP's) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op
www.sophos.com.
Voor meer informatie
Favorite Agency
Linda van Essen, Annerieke Kamphuis
sophos@favorite.agency