Nieuw rapport Palo Alto Networks Unit 42: Dalende economische omstandigheden kunnen mensen aanzetten tot cybercriminaliteit
De dalende economische omstandigheden zouden meer mensen kunnen aanzetten tot cybercriminaliteit om de eindjes aan elkaar te knopen. Dit blijkt uit het onderzoek van Palo Alto Networks Unit 42 (NASDAQ: PANW). Het 2022 Unit 42 Incident Response Report biedt inzichten uit Unit 42's uitgebreide Incident Response (IR)-werk. Hierbij wordt gebruik gemaakt van een steekproef uit meer dan 600 Unit 42 IR-gevallen om CISO's en beveiligingsteams te helpen om inzicht te krijgen in de grootste beveiligingsrisico's en waar ze hun middelen in moeten zetten om deze te verminderen.
Palo Alto Networks Unit 42 stelde vast dat ransomware en business email compromise (BEC) de top incidenttypes waren waarop haar Incident Response-team reageerde in de afgelopen 12 maanden. Samen waren ransomware en BEC goed voor ongeveer 70% van de incident response cases.
"Op dit moment is cybercriminaliteit een gemakkelijke business om in te stappen omdat het weinig kost en vaak veel oplevert. Ongeschoolde, beginnende aanvallers kunnen aan de slag gaan met tools zoals hacking-as-a-service die steeds populairder en makkelijker beschikbaar worden op het Dark Web", aldus Wendi Whitmore, SVP en Head of Unit 42 bij Palo Alto Networks. "Ransomware-aanvallers worden ook steeds georganiseerder met hun klantenservice en tevredenheidsonderzoeken als ze zich inlaten met cybercriminelen en de gedupeerde organisaties."
Unit 42 ontdekte ook dat in 75% van de gevallen van insider threat een voormalige medewerker betrokken is. "De huidige economische volatiliteit maakt het noodzakelijk voor organisaties om zich te richten op bescherming tegen insider bedreigingen. Cybercriminelen zullen werknemers op het web opzoeken en hen direct benaderen om hen geld te bieden voor hun referenties", voegde Whitmore toe.
De belangrijkste trends uit het rapport:
Ransomware
Elke vier uur wordt er een nieuw ransomware-slachtoffer op leksites geplaatst. Het vroegtijdig identificeren van ransomware-activiteiten is van cruciaal belang voor organisaties. Doorgaans worden ransomware-actoren pas ontdekt nadat bestanden zijn versleuteld en de slachtofferorganisatie een losgeldbrief ontvangt. Unit 42 heeft vastgesteld dat de mediane dwell time (de tijd die bedreigers in een bepaalde omgeving doorbrengen voordat ze worden ontdekt) voor ransomware-aanvallen 28 dagen bedraagt. Er is voor 30 miljoen dollar losgeld geëist en er is voor 8 miljoen dollar uitbetaald, een gestage toename in vergelijking met de bevindingen van het Unit 42 Ransomware Report van 2022. Steeds vaker kunnen getroffen organisaties ook dubbele afpersing verwachten, waarbij bedreigers dreigen gevoelige informatie openbaar te maken als het losgeld niet wordt betaald. De financiële sector en de vastgoedsector behoorden tot de sectoren die de hoogste gemiddelde losgeldeisen ontvingen, met een gemiddelde eis van respectievelijk bijna 8 miljoen dollar en 5,2 miljoen dollar.
BEC
Cybercriminelen maken gebruik van uiteenlopende technieken om bedrijven via e-mail te misleiden. Vormen van social engineering zoals phishing bieden een gemakkelijke en kosteneffectieve manier om toegang te krijgen terwijl het risico op ontdekking laag blijft. Volgens het rapport vragen cybercriminelen hun onwetende doelwitten in veel gevallen gewoon om hun inloggegevens te geven - en krijgen ze die. Als ze eenmaal toegang hebben, was de gemiddelde verblijfstijd voor BEC-aanvallen 38 dagen en het gemiddelde gestolen bedrag 286.000 dollar.
Getroffen sectoren
Aanvallers volgen het geld als het op industrieën aankomt, maar veel aanvallers zijn opportunistisch - ze scannen gewoon het internet op zoek naar systemen waarvan ze bekende kwetsbaarheden kunnen misbruiken. Unit 42 identificeerde de meest getroffen sectoren in incident response cases als financiën, professionele en juridische dienstverlening, productie, gezondheidszorg, high tech, groothandel en detailhandel.
Het rapport onthult ook enkele statistieken van IR-zaken waarvan cyberaanvallers niet willen dat je het weet:
- De top drie van aanvankelijke toegangsvectoren die door bedreigers werden gebruikt, waren phishing, exploitatie van bekende softwarekwetsbaarheden en brute-force credential-aanvallen die voornamelijk waren gericht op het remote desktop protocol (RDP). Samen vormen deze aanvalsvectoren 77% van de vermoedelijke hoofdoorzaken van inbraken.
- ProxyShell was goed voor meer dan de helft van alle kwetsbaarheden die werden misbruikt voor initiële toegang (55%), gevolgd door Log4J (14%), SonicWall (7%), ProxyLogon (5%) en Zoho ManageEngine ADSelfService Plus (4%).
- In de helft van alle IR-zaken ontdekten onze onderzoekers dat organisaties niet beschikten over multifactorauthenticatie op kritieke internetgerichte systemen zoals bedrijfswebmail, VPN-oplossingen (Virtual Private Network) of andere oplossingen voor toegang op afstand.
- In 13% van de gevallen hadden organisaties geen maatregelen getroffen om accountvergrendeling te verzekeren voor brute-force credential aanvallen.
- In 28% van de gevallen droeg het hebben van slechte patchbeheerprocedures bij aan het succes van bedreigers.
- In 44% van de gevallen beschikten organisaties niet over een beveiligingsoplossing voor detectie en reactie op endpoints (EDR) of uitgebreide detectie en reactie (XDR) of was deze niet volledig ingezet op de systemen die aanvankelijk waren getroffen om kwaadaardige activiteiten te detecteren en hierop te reageren.
Unit 42 Incident Response-diensten
Palo Alto Networks Unit 42 heeft een ervaren team van beveiligingsconsultants met achtergronden in de publieke en private sector die enkele van de grootste cyberaanvallen in de geschiedenis hebben afgehandeld. Zij
beheren complexe cyberrisico's en reageren op geavanceerde bedreigingen, waaronder aanvallen van nationale staten, APT's en complexe ransomware-onderzoeken. De incident response-experts van Unit 42 zijn 24/7 beschikbaar om klanten te helpen inzicht te krijgen in de aard van de aanval en deze vervolgens snel in te dammen, te herstellen en uit te schakelen. Ze maken gebruik van een beproefde methodologie en beproefde tools die zijn ontwikkeld op basis van hun praktijkervaring met het onderzoeken van duizenden incidenten.
Meer details over toekomstvoorspellingen, tips om veilig te blijven, aanvullende datapunten en meer zijn te vinden in het 2022 Unit 42 Incident Response Report, dat kan worden gedownload op de Palo Alto Networks Website. Een samenvatting van het rapport is beschikbaar in de Unit 42 blog.