Proofpoint: Cybercriminelen vergroten activiteiten en tools

do, 15/06/2023 - 10:22

Door: Redactie WINMAG Pro

Proofpoint, een toonaangevend cybersecurity- en compliance-bedrijf, publiceert zijn jaarlijkse Human Factor-rapport, waaruit blijkt dat na twee jaar van pandemische ontwrichting, het in 2022 weer business as usual was voor cybercriminelen wereldwijd. Toen de medische en economische programma's van COVID-19 begonnen af te nemen, moesten aanvallers nieuwe manieren vinden om geld te verdienen door hun social engineering vaardigheden aan te scherpen, geavanceerde aanvalstechnieken te commercialiseren en op creatieve wijze nieuwe kansen te zoeken op onverwachte manieren.

Van grootschalige en gerichte aanvallen op cloudhuurders tot de opkomst van 'conversational smishing'-aanvallen en de toename van het omzeilen van multifactorauthenticatie (MFA), heeft het cyberaanvallandschap in 2022 op verschillende vlakken belangrijke ontwikkelingen doorgemaakt.

"Met Microsoft 365 als een groot deel van het aanvalsoppervlak van een typische organisatie, blijft het breed misbruiken van dat platform, van Office-macro's tot OneNote-documenten, de grote lijnen van het dreigingslandschap bepalen", zegt Mark-Peter Mansveld, Vice President Northern Europe, Middle East & Israel bij Proofpoint. "Naarmate de beveiligingsmaatregelen langzaam zijn verbeterd, hebben cybercriminelen innovatieve en schaalbare manieren gevonden om deze te omzeilen. Methodes zoals MFA-bypass en aanvallen via telefoon, die voorheen voorbehouden waren aan red-teams, zijn nu gemeengoed geworden. Hoewel veel van deze hackers nog steeds experimenteren, blijft één ding hetzelfde: aanvallers maken misbruik van mensen en zij zijn de meest kritieke factor in de huidige aanval."

Het Human Factor-rapport is het meest uitgebreide rapport in de branche van één leverancier en onderzoekt de nieuwe ontwikkelingen op het gebied van dreigingen, waarbij de nadruk ligt op de combinatie van technologie en psychologie die moderne cyberaanvallen zo gevaarlijk maakt, met betrekking tot de drie belangrijkste aspecten van gebruikersrisico’s: kwetsbaarheid, aanvallen en privileges. Het rapport is gebaseerd op een van de grootste en meest diverse wereldwijde datasets op het gebied van cybersecurity, verzameld uit meer dan 2,6 miljard e-mailberichten, 49 miljard URL's, 1,9 miljard bijlagen, 28 miljoen cloudaccounts, 1,7 miljard verdachte sms-berichten en meer.

Van complexe methoden, zoals het omzeilen van multifactorauthenticatie, tot telefoon-georiënteerde aanvalsmethoden en conversational dreigingen, die uitsluitend vertrouwen op de charme van de aanvaller. Vorig jaar was een jaar van ongekende creativiteit onder cybercriminelen waarbij ze aanvalsketens varieerden en snel verschillende leveringsmechanismen testten en verwierpen.

Belangrijke bevindingen die worden benadrukt in het Proofpoint 2023 Human Factor-rapport zijn onder andere:

Het gebruik van Office-macro's nam af nadat Microsoft controles had geïmplementeerd om ze te blokkeren: na bijna drie decennia als populaire methode voor het verspreiden van malware, begonnen Office-macro's eindelijk af te nemen in gebruik nadat Microsoft had geüpdatet hoe de software omgaat met bestanden die van internet worden gedownload. Deze veranderingen leidden tot een voortdurende golf van experimenten door bedreigingsactoren om alternatieve technieken te vinden om doelwitten te compromitteren.
Cybercriminelen combineerden hun vindingrijkheid met nieuwe precisie en geduld: conversational smishing-aanvallen en dreigingen zoals "pig butchering" - die beginnen met het verzenden van ogenschijnlijk onschadelijke berichten - kenden vorig jaar een sterke groei. In de mobiele ruimte was dit de snelstgroeiende dreiging, met een twaalfvoudige toename in volume. Ook het gebruik van telefoon-georiënteerde aanvalsmethoden (TOAD) piekte op 13 miljoen berichten per maand. Verschillende door de staat gesponsorde APT-actoren investeerden aanzienlijke tijd in het uitwisselen van onschuldige berichten met hun doelwitten om een vertrouwensband op te bouwen gedurende weken en maanden.
Kant-en-klare MFA-bypass-phish-kits zijn alomtegenwoordig geworden, waardoor zelfs niet-technische criminelen gemakkelijk een phishing-campagne kunnen opzetten: MFA-bypass-frameworks zoals EvilProxy, Evilginx2 en NakedPages waren verantwoordelijk voor meer dan een miljoen phishing-berichten per maand.
Legitieme infrastructuur speelt een belangrijke rol bij de uitvoering van veel cloudgebaseerde aanvallen en laat de beperkingen van op regels gebaseerde bescherming zien: de meeste organisaties werden bedreigd vanuit bekende cloudreuzen Microsoft en Amazon, waarvan de infrastructuur talloze legitieme diensten host waar organisaties op vertrouwen.
Nieuwe distributiemethoden hebben SocGholish naar de top vijf van malware op basis van het aantal berichten geduwd: met een nieuwe distributiemethode die drive-by downloads en valse browser-updates gebruikt, is de dreigingsacteur achter SocGholish - TA569 - steeds beter in staat geweest om websites te infecteren en malware uitsluitend via drive-by downloads te leveren. Hierbij worden slachtoffers misleid om het te downloaden via nep-browserupdates. Veel websites die de SocGholish-malware hosten, zijn zich er niet van bewust dat ze dit hosten, waardoor de verspreiding ervan verder wordt vergroot.
Cloudbedreigingen zijn alomtegenwoordig geworden: 94% van de cloudgebruikers wordt elke maand het doelwit van precisie- of brute-force cloudaanvallen, wat wijst op een frequentie vergelijkbaar met e-mail- en mobiele vectoren. Het aantal brute-force aanvallen, met name wachtwoord spraying, is gestegen van een maandelijks gemiddelde van 40 miljoen in 2022 naar bijna 200 miljoen begin 2023.
Het misbruiken van de bekendheid en het vertrouwen in grote merken is een van de eenvoudigste vormen van sociale techniek: Microsoft-producten en -diensten bezetten vier van de top vijf posities voor misbruikte merken, waarbij Amazon het meest misbruikte merk was.
Een succesvolle eerste toegang kan snel leiden tot domeinbrede aanvallen zoals ransomware-infectie of datadiefstal: tot 40% van de verkeerd geconfigureerde of "schaduw" beheerdersidentiteiten kan in één stap worden misbruikt, zoals het resetten van een domeinwachtwoord om privileges te verhogen. En 13% van de schaduwbeheerders bleek al domeinbeheerdersrechten te hebben, waardoor aanvallers inloggegevens kunnen verzamelen en toegang kunnen krijgen tot bedrijfssystemen. Ongeveer 10% van de endpoints heeft een onbeschermd wachtwoord voor een bevoorrecht account, waarvan 26% van die blootgestelde accounts domeinbeheerders zijn.
Emotet keerde terug als 's werelds meest prominente dreigingsacteur, een jaar nadat de wetshandhaving het botnet offline haalde in januari 2021: ondanks het verzenden van meer dan 25 miljoen berichten in 2022 - meer dan twee keer het volume van de op één na meest prominente dreigingsacteur - is de aanwezigheid van Emotet intermittent geweest, waarbij de groep ook tekenen van traagheid vertoonde bij het aanpassen aan het dreigingslandschap na macro's.
Terwijl financieel gedreven criminaliteit grotendeels het dreigingslandschap domineert, kan een enkele uitzonderlijke aanval door een Advanced Persistent Threat (APT)-dreigingsacteur een enorme impact hebben: een grote campagne van TA471, een met Rusland gealigneerde APT-dreigingsgroep, die zich bezighoudt met zowel bedrijfs- als overheidsespionage, heeft die groep naar de top van de APT-berichtenvolume-grafieken gestuwd. TA416, een APT-acteur die in lijn is met de Chinese staat, was een van de meest actieve. Met name belangrijke nieuwe campagnes van TA416 vielen samen met het begin van de oorlog tussen Rusland en Oekraïne, gericht op Europese diplomatieke entiteiten die betrokken zijn bij vluchtelingen- en migrantendiensten.