Darktrace brengt zijn “First 6: Half-Year Threat Report van 2024” uit, waarin de belang­rijkste dreigingen en aanvals­me­thoden zijn geïden­ti­fi­ceerd waarmee bedrijven in de eerste helft van 2024 te maken hebben gehad. Deze inzichten zijn waarge­nomen door het Threat Research-team van Darktrace met behulp van haar unieke zelfle­rende AI binnen het Darktrace-klanten­be­stand en werpen een licht op de aanhou­dende aard van cyber­drei­gingen en nieuwe technieken die door aanval­lers worden gebruikt om tradi­ti­o­nele bevei­li­ging te omzeilen.

E‑mailphishing en geavanceerde ontwijkingstechnieken nemen toe

Phishing blijft een aanzien­lijke dreiging voor organi­sa­ties. Darktrace detec­teerde 17,8 miljoen phishing-e-mails in zijn klanten­be­stand tussen 21 december 2023 en 5 juli 2024. Alarme­rend genoeg omzeilde 62% van deze e‑mails met succes de verifi­ca­tie­con­troles van Domain-based Message Authen­ti­ca­tion, Repor­ting and Confor­mance (DMARC). Dit zijn industriële proto­collen die zijn ontworpen om e‑maildomeinen te beschermen tegen ongeau­to­ri­seerd gebruik. Maar liefst 56% passeerde alle bestaande beveiligingslagen.

Het rapport benadrukt hoe cyber­cri­mi­nelen geavan­ceer­dere tactieken, technieken en proce­dures (TTP’s) omarmen die zijn ontworpen om tradi­ti­o­nele bevei­li­ging te omzeilen. Daarnaast zag Darktrace een toename in aanval­lers die populaire, legitieme services en sites van derden, zoals Dropbox en Slack, in hun activi­teiten gebruiken om zich aan te passen aan het normale netwerk­ver­keer. Ook is er een piek in het gebruik van geheime command and control (C2)-mechanismen, waaronder remote monito­ring and manage­ment (RMM)-tools, tunne­ling en proxyservices.

Cybercrime-as-a-Service blijft een aanzienlijk risico vormen voor organisaties

Cyber­crime-as-a-Service blijft het dreigings­land­schap domineren, waarbij Malware-as-a-Service (MaaS) en Ransom­ware-as-a-Service (RaaS)-tools een aanzien­lijk deel uitmaken van de kwaad­aar­dige tools die door aanval­lers worden gebruikt. Cyber­crime-as-a-Service-groepen, zoals Lockbit en Black Basta bieden aanval­lers alles wat ze nodig hebben; van kant-en-klare malware tot sjablonen voor phishing-e-mails. Hierdoor wordt de drempel voor cyber­cri­mi­nelen met beperkte techni­sche kennis verlaagd.

De meest voorko­mende dreigingen die Darktrace van januari tot juni 2024 obser­veerde, waren:

1. Infor­matie-stelende malware (29% van de vroeg getri­eerde onderzoeken)
2. Trojans (15% van de onder­zochte bedreigingen)
3. Remote Access Trojans (RAT’s) (12% van de onder­zochte bedreigingen)
4. Botnets (6% van de onder­zochte bedreigingen)
5. Loaders (6% van de onder­zochte bedreigingen)

Verder onthult het rapport de opkomst van nieuwe dreigingen. Met name die van Qilin-ransom­ware. Deze ransom­ware gebruikt verfijnde tactieken, zoals het opnieuw opstarten van geïnfec­teerde machines in de veilige modus om bevei­li­gingstools te omzeilen en het voor mense­lijke bevei­li­gings­teams moeilijker maakt om snel te reageren.

Volgens het rapport zijn dubbele afper­sings­me­thoden nu gangbaar onder ransom­ware-groepen. Het Threat Research-team van Darktrace drie overheer­sende ransom­ware-groepen geïden­ti­fi­ceerd: Akira, Lockbit en Black Basta. Bij alle drie zijn dubbele afper­sings­me­thoden waargenomen.

“Het dreigings­land­schap blijft evolu­eren, maar nieuwe dreigingen bouwen vaak voort op oude funda­menten in plaats van ze te vervangen. Hoewel we de opkomst van nieuwe malwa­re­fa­mi­lies hebben waarge­nomen, worden veel aanvallen uitge­voerd door de usual suspects die we de afgelopen jaren hebben gezien, waarbij nog steeds gebruik wordt gemaakt van bekende technieken en malwa­re­va­ri­anten”, aldus Natha­niel Jones, Director of Strategic Threat and Engage­ment bij Darktrace. “MaaS/RaaS-servi­ce­mo­dellen en de opkomst van nieuwe dreigingen zoals Qilin-ransom­ware onder­strepen de aanhou­dende behoefte aan adaptieve, door machine learning aange­stuurde bevei­li­gings­maat­re­gelen die gelijke tred kunnen houden met een snel evolu­e­rend dreigingslandschap.”

Edge-infrastructuurcompromissen en exploitatie van kritieke kwetsbaarheden zijn de grootste zorg

Darktrace zag ook een toename in massaal misbruik van kwets­baar­heden in edge-infra­struc­tuur­ap­pa­raten, met name die gerela­teerd aan Ivanti­Con­nect Secure, JetBrains TeamCity, Forti­Client Enter­prise Manage­ment Server en Palo Alto Networks PAN-OS. Dit dient vaak als spring­plank voor verdere kwaad­aar­dige activiteiten.

Het is van groot belang dat organi­sa­ties bestaande aanval­strends en CVE’s niet uit het oog verliezen: cyber­cri­mi­nelen kunnen hun toevlucht nemen tot eerdere, overwe­gend inactieve methoden om organi­sa­ties voor de gek te houden. Tussen januari en juni maakten aanval­lers in 40% van de door het Threat Research-team onder­zochte gevallen misbruik van Common Vulne­ra­bi­li­ties and Exposures (CVE’s).

Download hier het volle­dige rapport First 6: Half-Year Threat Report 2024. 

Illustra­tion was created using AI