Ransomwaregroepen schieten als paddenstoelen uit de grond. Hacktools zijn steeds moeilijker te onderscheiden van legitieme software. Mensenwerk blijft essentieel voor cybersecurity. Dat stelt Sophos in een nieuw onderzoek.
Sophos levert securitysoftware en -diensten. Het interne Sophos Rapid Response-team springt te hulp bij cyberaanvallen op klanten. Tijdens een incident achterhaalt het team zoveel mogelijk informatie over de aanvalstactiek en -methode. John Shier, Senior Security Advisor bij Sophos, schreef een rapport op basis van de data van 144 incidenten uit het afgelopen jaar. Het rapport (Active Adversary Playbook 2022) biedt inzicht in de werkwijze van cybercriminelen.
Voordat je verder leest is het belangrijk om te begrijpen hoe het Sophos Rapid Response-team te werk gaat. Het team springt pas bij nadat een organisatie zich bewust wordt van een aanval. Dit betekent dat het team niet in aanraking komt met cyberaanvallen die aan een organisatie voorbijgaan. Dat zijn er nogal wat. Het is zelden in het voordeel van een cybercrimineel om zich kenbaar te maken. Cryptominers, trojans en data exfiltration zijn effectiever wanneer een organisatie geen idee heeft van de infectie. Aanvallers weten zichzelf doorgaans te verbergen, waardoor dergelijke aanvallen zelden op het bureau van het Sophos Rapid Response-team belanden.
Ransomware is een uitzondering op de regel. Een aanvaller moet zichzelf onthullen om een organisatie af te persen. Dat verklaart waarom het Sophos Rapid Response-team het vaakst met ransomware in aanraking kwam. De aanvalssoort was goed voor 73 procent van alle incidenten. Slechts 2 procent draaide om cryptomining, waarbij een cybercrimineel de capaciteit van systemen aftapt. Droppers en data exfiltration kwamen in 1 procent van de gevallen voor. Droppers zijn applicaties voor het uitrollen van trojans. Data exfiltration staat voor het wegsluizen van data, oftewel diefstal.
Security beweegt
De cijfers verschillen met het vorige rapport. In 2020 nam het team banking trojans (1 procent) en wipers (1 procent) waar. In 2021 werden de aanvalssoorten niet gespot. Het betekent niet dat de aanvalssoorten niet meer bestaan. Het Sophos Rapid Response-team beschreef 23 procent van alle incidenten uit 2021 als ‘other intrusions’. De aanvalssoorten van deze incidenten waren bij Sophos onbekend. Het is aannemelijk dat banking trojans en wipers tot de categorie behoren. De malwarevormen worden regelmatig vermomd en vernieuwd. Nieuwe varianten passen niet altijd in een bekende categorie.
De frequentie van ransomware was ongeveer hetzelfde in 2020 en 2021, maar de activiteit van ransomwaregroepen is drastisch veranderd. 26 procent van alle ransomware-aanvallen werd in 2021 door een onbekende groep uitgevoerd. In 2020 waren slechts 9 procent van de aanvallen onbekend. Daarnaast verdwenen de meeste bekende groepen van de radar. REvil en Conti waren de enige twee groepen die in 2020 én 2021 tot de top 15 behoorde. Dit betekent dat het landschap razendsnel verandert. Een nieuwe groep kan in een jaar tijd koploper worden, en twee maanden later van de kaart verdwijnen.
Bijna de helft van alle aanvallen (47 procent) werd mogelijk gemaakt door ongepatchte software. 8 procent kwam door phishing; 6 procent door gelekte inloggegevens.
Mensenwerk
Tot slot werkten aanvallers vaker met een mix van legitieme en verdachte tools. PowerShell (74 procent), PsExec (50 procent), AnyDesk (22 procent) en ADFind (15 procent) waren populair. Vandaar benadrukt Sophos dat incident response mensenwerk is. “Het verschil tussen goedaardig en kwaadaardig is niet altijd gemakkelijk te herkennen”, deelt Shier. “Technologie kan veel bereiken, maar is op zichzelf onvoldoende. Menselijke ervaring, vaardigheid en het vermogen om te reageren zijn een essentieel onderdeel van elke beveiligingsoplossing.”
14 minuten geleden
