Hengelo, 18 december 2024 -
Sophos, wereldwijd leider in cybersecurity-as-a-service, heeft
“ The Bite from Inside: The Sophos Active Adversary Report” uitgebracht. Dit rapport biedt een diepgaande analyse van de veranderende gedragingen en aanvalstechnieken die tegenstanders gebruikten in de eerste helft van 2024.
De gegevens zijn afkomstig van bijna 200 incident response (IR)-gevallen, onderzocht door zowel het Sophos X-Ops IR-team als het Sophos X-Ops Managed Detection and Response (MDR)-team. Uit de analyse blijkt dat aanvallers steeds vaker gebruikmaken van vertrouwde applicaties en tools in Windows-systemen – ook wel
“living off the land”-binaries genoemd (LOLbins) – om systemen te verkennen en aanwezig te blijven. Vergeleken met 2023 zag Sophos een toename van 51% in het misbruik van LOLbins; sinds 2021 is dit zelfs met 83% gestegen.
Van de 187 unieke Microsoft LOLbins die in de eerste helft van het jaar werden gedetecteerd, was Remote Desktop Protocol (RDP) de meest misbruikte applicatie. In 89% van de bijna 200 onderzochte IR-gevallen maakten aanvallers misbruik van RDP. Deze trend, die al werd vastgesteld in het
Active Adversary Reportvan 2023 en waar toen in 90% van alle IR-gevallen RDP-misbruik werd aangetroffen, blijft voortduren.
“
Living off the land biedt aanvallers niet alleen een manier om onopvallend te werk te gaan, maar het geeft hun activiteiten ook impliciete legitimiteit”, zegt John Shier, Field CTO bij Sophos. “Hoewel het misbruik van sommige legitieme tools waarschuwingssignalen kan opleveren voor verdedigers, heeft het misbruik van Microsoft-binaries vaak het tegenovergestelde effect. Veel van deze tools zijn essentieel voor Windows en hebben legitieme toepassingen. Het is daarom aan systeembeheerders om te begrijpen hoe deze tools binnen hun omgeving worden gebruikt en wat misbruik inhoudt. Zonder een genuanceerd en contextueel inzicht in hun netwerken, lopen IT-teams het risico cruciale dreigingssignalen te missen die vaak tot ransomware leiden.”
Daarnaast stelde het rapport vast dat, ondanks de verstoring van LockBit’s belangrijkste lekwebsite en infrastructuur in februari, LockBit in de eerste helft van 2024 de meest voorkomende ransomwaregroep bleef. LockBit was verantwoordelijk voor ongeveer 21% van de infecties.
Belangrijkste bevindingen uit het nieuwste Active Adversary Report:
- Oorzaak van aanvallen:Gecompromitteerde inloggegevens blijven de belangrijkste oorzaak van aanvallen, goed voor 39% van de gevallen. Dit is echter een daling ten opzichte van de 56% in 2023.
- Netwerkinbraken domineren voor MDR:Bij de analyse van alleen de gevallen van het Sophos MDR-team waren netwerkinbraken het meest voorkomende incident.
- Kortere detectietijd voor MDR-teams:Voor de gevallen van het Sophos IR-team bleef de gemiddelde detectietijd (de tijd tussen het begin van een aanval en de detectie) ongeveer acht dagen. Voor MDR-gevallen is de mediane detectietijd echter slechts één dag voor alle typen incidenten en drie dagen voor ransomware-aanvallen.
- De meest aangetaste Active Directory-servers naderen het einde van hun levensduur: Aanvallers richtten zich het vaakst op de Active Directory (AD)-serverversies 2019, 2016 en 2012. Deze drie versies worden niet langer volledig ondersteund door Microsoft en naderen hun end-of-life (EOL)-status, wat betekent dat ze zonder betaalde ondersteuning niet meer te patchen zijn. Bovendien was 21% van de gecompromitteerde AD-serverversies al EOL.
Meer weten over aanvallers, hun tools en technieken? Lees
“ The Bite from Inside: The Sophos Active Adversary Report” op Sophos.com.
Meer informatie over:
Over Sophos
Sophos is een wereldwijde leider en innovator van geavanceerde cyberbeveiligingsoplossingen, waaronder Managed Detection and Response (MDR), incidentresponsservices en een breed portfolio van endpoint-, netwerk-, e-mail- en cloudbeveiligingstechnologieën die organisaties helpen cyberaanvallen te verslaan. Als een van de grootste pure-play aanbieders van cyberbeveiliging verdedigt Sophos meer dan 600.000 organisaties en meer dan 100 miljoen gebruikers wereldwijd tegen kwaadwillenden, ransomware, phishing, malware en meer. De diensten en producten van Sophos zijn verbonden via de cloudgebaseerde beheersconsole Sophos Central en worden mogelijk gemaakt door Sophos X-Ops, de domeinoverschrijdende bedreigingsinformatie-eenheid van het bedrijf. Sophos X-Ops-intelligentie verrijkt het hele Sophos Adaptive Cybersecurity Ecosystem, inclusief een gecentraliseerd data lake dat gebruikmaakt van een uitgebreide reeks open API's die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging en informatietechnologie. Sophos biedt cybersecurity-as-a-service aan organisaties die volledig beheerde, kant-en-klare beveiligingsoplossingen nodig hebben. Klanten kunnen hun cybersecurity ook rechtstreeks beheren met het Sophos Security Operations-platform, of een hybride aanpak gebruiken door hun interne teams aan te vullen met de diensten van Sophos, waaronder het opsporen en oplossen van bedreigingen. Sophos verkoopt via resellerpartners en managed service providers (MSP's) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op
www.sophos.com.