.



Darktrace-onderzoek: aanhoudende stijging van MaaS-dreigingen en toenemend gebruik van ontwijkingsstrategieën

Darktrace-2024-MaaS

 

     Malware-as-a-Service (MaaS) vertegenwoordigt nu 57% van de gedetecteerde dreigingen, een stijging van 17% ten opzichte van H1 2024.

     De geavanceerdheid van phishingaanvallen blijft toenemen, waarbij spearphishing 38% van de aanvallen uitmaakt.

     Dreigingsactoren richten zich steeds meer op ontwijking via kwetsbaarheden in edge-apparaten, Living-off-the-Land (LOTL)-technieken en het kapen van cruciale zakelijke tools zoals Dropbox en SharePoint. 

Uit het 2024 Annual Threat Report van Darktrace, leider in AI voor cybersecurity, blijkt dat Malware-as-a-Service (MaaS) nu verantwoordelijk is voor meer dan de helft (57%) van alle cyberdreigingen voor organisaties. Dit markeert de voortdurende groei van Cybercrime-as-a-Service (CaaS) modellen. Deze inzichten zijn waargenomen door Darktrace's Threat Research-team met behulp van zijn unieke Self-Learning AI in zijn klantenbestand van bijna 10.000 klanten verspreid over alle grote industrieën wereldwijd. Ze beschrijven een veranderend dreigingslandschap dat steeds complexer wordt, gekenmerkt door toenemende verfijning van veelvoorkomende dreigingen.  

Cybercrime-as-a-Service-dreigingen blijven bestaan ​​

De hardnekkigheid van CaaS-modellen, met name Ransomware-as-a-Service (RaaS) en MaaS neemt snel toe nu minder ervaren dreigingsactoren toegang krijgen tot nieuwe tools om ontwrichtende aanvallen uit te voeren. Volgens het rapport steeg het gebruik van MaaS-tools in de tweede helft van 2024 met 17%, van 40% in de eerste zes maanden tot 57% aan het eind van het jaar.

Het gebruik van Remote Access Trojans (RAT's) nam ook aanzienlijk toe in de tweede helft van het jaar en vertegenwoordigde 46% van de geïdentificeerde campagneactiviteit, vergeleken met slechts 12% in de eerste helft. RAT's stellen een aanvaller in staat om een geïnfecteerd apparaat op afstand te besturen, waardoor ze verdere kwaadaardige activiteiten kunnen uitvoeren, zoals het exfiltreren van gegevens, diefstal van inloggegevens of surveillance.  

Het Threat Research-team van Darktrace volgde verschillende ransomware-dreigingen die klanten troffen, van nieuwe dreigingen zoals Lynx tot opnieuw opkomende dreigingen zoals Akira, RansomHub, Black Basta, Fog en Qilin. Hoewel deze groepen vaak phishing als aanvalsvector gebruiken, is er ook een verschuiving naar geavanceerdere technieken. Deze omvatten het gebruik van legitieme tools zoals AnyDesk en Atera om command and control (C2)-communicatie te maskeren, LOTL-technieken voor laterale verplaatsing, data-exfiltratie naar veelgebruikte cloudopslagservices en het gebruik van bestandsoverdrachttechnologie voor snelle exploitatie en dubbele afpersingsmethoden. 

Postvakken onder vuur

Phishing blijft de favoriete techniek van aanvallers. Tussen december 2023 en december 2024 zijn meer dan 30,4 miljoen phishing-e-mails gedetecteerd in het klantenbestand van Darktrace. De waargenomen technieken benadrukken hoe dreigingsactoren steeds gerichtere en geavanceerdere e-mails samenstellen om het succes van hun campagnes te verbeteren. Dit zijn de meest opvallende cijfers: 

     38% waren spear-phishingpogingen, op maat gemaakte aanvallen op waardevolle personen.

     32% gebruikte nieuwe social engineeringtechnieken zoals QR-codes en door AI gegenereerde tekst.

     70% omzeilde succesvol de veelgebruikte DMARC-authenticatiebenadering.

     55% passeerde alle bestaande beveiligingslagen vóór Darktrace-detectie.

Darktrace observeerde verder een toename van dreigingsactoren die misbruik maken van  services van derden waarop werknemers doorgaans vertrouwen, zoals Zoom Docs, QuickBooks, HelloSign, Adobe en Microsoft SharePoint, om phishing-e-mails te versturen. Door gebruik te maken van vertrouwde platforms en domeinen kunnen kwaadwillende actoren traditionele beveiligingsmaatregelen omzeilen en de kans vergroten dat hun phishingpogingen succesvol zijn. Deze inspanningen benadrukken hoe dreigingsactoren zich voortdurend aanpassen om gelijke tred te houden met de opkomst van nieuwe technologieën. 

Nathaniel Jones, VP, Security and AI Strategy, Darktrace, merkt op: "E-mail staat voorop in de evoluerende dreigingen die we in het dreigingslandschap zien. Ransomware-as-a-Service-tools, gecombineerd met het toenemende gebruik van AI, stellen zelfs laaggeschoolde aanvallers in staat om overtuigende, gerichte e-mailaanvallen op grote schaal uit te voeren, en maken het moeilijker dan ooit voor traditionele beveiligingsmaatregelen om bij te blijven." 

Detectie omzeilen via kwetsbaarheden in edge-apparatenen LOTL-technieken

Dreigingsactoren richten zich steeds meer op het ontwijken van detectie in plaats van het veroorzaken van verstoring. Hiervoor gebruiken ze vaak kwetsbaarheden in edge-, perimeter- of internetgerichte apparaten om initiële toegang tot netwerken te krijgen. Vervolgens worden LOTL-technieken - het kwaadaardige gebruik van legitieme tools die op een systeem aanwezig zijn - gebruikt om onopgemerkt te blijven. 

De belangrijkste campagnes die in 2024 werden waargenomen, betroffen aanhoudende exploitatiekwetsbaarheden in edge- en perimeternetwerktechnologieën. 40% van de geïdentificeerde campagneactiviteit in de eerste helft van het jaar betrekking had betrekking op de exploitatie van internetgerichte apparaten. Enkele van de meest voorkomende exploitaties betroffen Ivanti Connect Secure (CS) en Ivanti Policy Secure (PS)-apparaten, Palo Alto Network (PAN-OS)-firewallapparaten en Fortinet-apparaten. Darktrace detecteerde bijvoorbeeld al op 26 maart, 17 dagen vóór de openbare bekendmaking op 12 april, afwijkende kwaadaardige activiteiten van Palo Alto-firewallapparaten op netwerken van klanten. Dit wordt nu erkend als bewijs van PAN-OS-exploitatie. 

Daarnaast heeft Darktrace waargenomen dat dreigingsactoren steeds vaker gestolen inloggegevens gebruiken om in te loggen op oplossingen voor externe netwerktoegang, zoals VPN's. Na initiële toegang gebruiken dreigingsactoren legitieme tools en processen  om hun doelen te bereiken terwijl ze onopgemerkt blijven. 

Veel traditionele tools hebben moeite om deze aanvallen te identificeren en te stoppen, omdat het onderscheid maken tussen legitiem gebruik door beheerders en kwaadaardig gebruik door aanvallers een uitdaging is zonder een vastgestelde baseline van normaal gebruikersgedrag. Hoewel ze vaak worden gebruikt door meer geavanceerde actoren zoals Advanced Persistent Threats (APT's), profiteren kleinere cybercriminelen ook van het exploiteren van native tools. Zo besparen ze onder meer geld doordat het ontwikkelen van custom malware, die mogelijk wordt geblokkeerd door traditionele beveiligingstools zodra indicatoren van compromise (IoC's) worden gepubliceerd, niet langer nodig is. 

“De combinatie van Cybercrime-as-a-Service, automatisering en AI zorgt ervoor dat de geavanceerdheid en diversiteit van aanvalstechnieken sneller dan ooit toeneemt - van phishing-campagnes met AI-ondersteuning tot evoluerende ransomwaredreigingen”, zegt Nathaniel Jones, VP, Security and AI Strategy, Darktrace. “Het is niet langer voldoende om dreigingen te detecteren en erop te reageren. Organisaties moeten prioriteit geven aan cyberweerbaarheid door proactief zwakke plekken in systemen, mensen en data aan te pakken voordat aanvallers ze kunnen uitbuiten.”

 

 

 

Meer over
Lees ook
Twee Nederlanders gearresteerd voor betrokkenheid bij CoinVault ransomware

Twee Nederlanders gearresteerd voor betrokkenheid bij CoinVault ransomware

Twee mannen van 18 en 22 jaar uit Amersfoort zijn gearresteerd op verdenking van betrokkenheid bij CoinVault ransomware-aanvallen. De malware-activiteiten van de cybercriminelen waren vanaf mei vorig jaar aan de gang en waren gericht tegen gebruikers in meer dan 20 landen. Dit maakt de Nederlandse politie bekend. De National High Tech Crime Unit (1

2.600 WordPress-sites verspreiden ransomware

2.600 WordPress-sites verspreiden ransomware

Ruim 2.600 WordPress-sites zijn afgelopen weken door cybercriminelen gekraakt. De aanvallers hebben de sites voorzien van code waarmee wordt geprobeerd bezoekers te infecteren met ransomware. Beveiligingsbedrijf Zscaler meldt dat WordPress-websites die op versie 4.2 van WordPress of ouder draaien kwetsbaar zijn. De ransomware wordt verspreidt via1

Toolkit om ransomware te bouwen gratis online beschikbaar

Toolkit om ransomware te bouwen gratis online beschikbaar

Cybercriminelen hebben een nieuw verdienmodel verzonnen. Op internet wordt een toolkit gratis aangeboden waarmee ransomware kan worden gebouwd. Wie gebruikt maakt van de toolkit staat automatisch 20% van het losgeld dat met de ransomware wordt binnengehaald af aan de makers. De ‘Tox kit’, zoals de toolkit wordt genoemd, is ontdekt door Intel Secur1