Onderzoekers van Proofpoint analyseerden mkb-bedrijven die tussen het eerste kwartaal van 2022 tot en met het eerste kwartaal van 2023 doelwit waren van Advanced Persistent Threat (APT)-aanvallers. Door gebruik te maken van de Proofpoint Essentials-telemetrie, die meer dan 200.000 kleine en middelgrote zakelijke gebruikers omvat, konden de onderzoekers belangrijke trends in het APT-landschap identificeren die wereldwijd unieke bedreigingen vormen voor het mkb.
Opkomende APT-trends die van invloed zijn op het mkb
Door een jaar aan APT-campagnedata te onderzoeken, hebben onderzoekers van Proofpoint APT-actoren uit Rusland, Iran en Noord-Korea geïdentificeerd die phishing-campagnes uitvoeren op het mkb. Deze campagnes wijizen op die drie trends in de soorten aanvallen en tactieken die tegen het mkb worden gebruikt:
- APT-aanvallers gebruiken gecompromitteerde mkb-accounts voor phishing-campagnes
- Aanvallen op het mkb door staatsgebonden APT-criminelen voor financieel gewin
- APT-aanvallers die zich richten op het mkb om supply chain-aanvallen uit te voeren
"Kleine en middelgrote bedrijven komen steeds vaker voor in de phishing-data van Proofpoint als doelwit van cyberaanvallers die door staten worden gesteund. APT-aanvallers hebben ingezien dat het interessant kan zijn om organisaties van een kleiner formaat aan te vallen. Mkb-bedrijven beschikken immers over veel waardevolle informatie en zijn vaak onderdeel van de supply chain van grote ondernemingen. Proofpoint verwacht dat het aantal aanvallen, uitgevoerd door APT-aanvallers, op het mkb in 2023 blijft toenemen", zegt
Michael Raggi, Staff Threat Research Engineer bij Proofpoint.
Mkb'ers gebruikt voor phishing-campagnes
Onderzoekers van Proofpoint hebben het afgelopen jaar gevallen waargenomen waarbij domeinen of e-mailadressen van mkb-bedrijven werden geïmiteerd of gecompromitteerd. Hierbij ging het vaak om een cybercrimineel die erin slaagde een webserver of e-mailaccount te compromitteren. De aanvallers gebruikten daarbij credential harvesting of, in het geval van een webserver, door niet-gepatchte kwetsbaarheden te exploiteren. Vervolgens werd het e-mailadres gebruikt om een malafide e-mail te versturen naar andere doelwitten. Als een aanvaller een webserver met een domein had gecompromitteerd, misbruikte hij die legitieme infrastructuur om schadelijke malware te hosten of af te leveren bij een externe partij.
Afbeelding 1. Verloop van een aanval waarbij een mkb-bedrijf wordt gebruikt voor phishing
Aanvallen op het mkb voor financieel gewin
Staatsgebonden cybercriminelen die uit zijn op financieel gewin blijven een constante bedreiging voor de financiële sector vanwege spionage, diefstal van intellectueel eigendom en vernietigende aanvallen. APT-aanvallers die banden hebben met Noord-Korea richtten zich de afgelopen jaren op financiële instellingen, gedecentraliseerde financiering (DeFi) en blockchain-technologie om geld en cryptocurrency te stelen. Met dat geld worden vervolgens allerlei overheidsactiviteiten van Noord-Korea gefinancierd. In december 2022 zag Proofpoint dat een middelgrote digitale bank in de Verenigde Staten ten prooi viel aan een phishingcampagne van het aan Noord-Korea gelieerde TA444. De e-mail gebruikte een e-mailadres dat zich voordeed als ABF Capital en bevatte een schadelijke URL waarmee de CageyChameleon-malware werd verspreid.
Afbeelding 2. Voorbeeld van een valse e-mail over een zogenaamde salariswijziging
Regionale MSP’s doelwit van supply chain-aanvallen
De derde en laatste opkomende trend die tussen 2022 en 2023 werd waargenomen, is dat APT's zich steeds vaker richten op kwetsbare regionale managed service providers (MSP's) om supply chain-aanvallen uit te voeren. Regionale MSP's bedienen vaak honderden kleine en middelgrote ondernemingen in hun regio en een aantal van hen beschikt over beperkte cybersecurity-maatregelen. APT-aanvallers zien hierin hun kans om toegang te krijgen tot de omgevingen van eindgebruikers. Proofpoint constateert dan ook dat regionale MSP's het doelwit zijn van phishing-campagnes van APT-aanvallers.
Afbeelding 3. Voorbeeld van een supply chain-aanval in januari 2023.
Het APT-landschap wordt steeds complexer en wijst erop dat staatsgebonden cyberaanvallers zich gretig richten op kwetsbare mkb-bedrijven en regionale MSP's. Uit data van Proofpoint van het afgelopen jaar blijkt dat verschillende landen en bekende APT-aanvallers zich richten op kleine en middelgrote bedrijven, naast overheden, militairen en grote bedrijven. Door de infrastructuur van kleine en middelgrote bedrijven te gebruiken voor andere doelwitten, voor financieel gewin en om supply chain-aanvallen uit te voeren op regionale MSP's, vormen APT-aanvallers een groot risico voor het mkb.