Cybercriminelen blijven langer in een bedrijfsnetwerk voor ze toeslaan

Gepubliceerd op 10 juni 2022 om 07:00

Cybercriminelen brengen 36 procent meer tijd door in het netwerk van een organisatie dan een jaar geleden. Deze toename is te wijten aan het misbruik van ProxyLogon- en ProxyShell-kwetsbaarheden, evenals van Initial Access Brokers. Ondanks een verminderd gebruik van Remote Desktop Protocol voor externe toegang, gebruiken aanvallers deze tool vaker voor zogeheten interne laterale verplaatsing. Dat blijkt uit het ‘Active Adversary Playbook 2022’ van security-aanbieder Sophos.

Gedrag van aanvallers

Active Adversary Playbook 2022 beschrijft het gedrag van aanvallers zoals het Rapid Response-team van Sophos dit in 2021 in de praktijk heeft vastgesteld. De bevindingen tonen een toename van 36 procent in ‘Dwell Time’. Waar de mediane dwell time van indringers in 2020 nog 11 dagen bedroeg, is dit in 2021 gestegen naar 15 dagen.

Dwell time?

Is de tijd die aanvallers in een netwerk van een organisatie doorbrengen voor ze worden opgemerkt.

Het rapport toont daarnaast de impact van ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.

Divers en gespecialiseerd geworden

“De wereld van de cybercriminaliteit is ongelooflijk divers en gespecialiseerd geworden", zegt John Shier, senior security advisor bij Sophos. "IAB’s hebben een kleinschalige cybercrime-sector ontwikkeld waarbij ze inbreken bij een doelwit, de omgeving verkennen of een backdoor installeren, om vervolgens de toegang te verkopen aan ransomware-groepen die zelf een aanval willen lanceren."

In dit steeds dynamischer en gespecialiseerder cyberdreigingslandschap wordt het volgens Shier voor organisaties steeds lastiger om de wisselende tools en benaderingen van aanvallers te blijven volgen. Om aanvallen zo snel mogelijk te detecteren en neutraliseren, is het van vitaal belang dat verdedigers in elke fase van de aanvalsketen begrijpen waar ze op moeten letten.

MKB bedrijven

Het onderzoek van Sophos schetst ook een langere 'dwell time' bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met 3.000 tot 5.000 werknemers zo’n twintig dagen doorbrachten.

Shier hierover: “Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te komen, te pakken wat ze willen en weer te vertrekken. Kleinere organisaties zijn minder ‘waardevol’, waardoor aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen."

Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het dus langer om aanvallers op te merken en uit te schakelen, aldus Shier. “Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB’s zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn.”

Andere bevindingen uit het rapport

  • De mediane dwell time voordat een hacker werd ontdekt, was langer voor 'stealth'-inbraken die zich niet tot een grote aanval zoals ransomware hadden ontvouwd. Hetzelfde geldt voor kleinere organisaties en sectoren met minder IT-beveiligingsmiddelen. Voor organisaties die getroffen werden door ransomware, bedroeg de mediane dwell time 11 dagen. Voor bedrijven die getroffen waren door een inbraak, maar nog niet door een grote aanval zoals ransomware (23% van alle onderzochte incidenten), lag de mediane dwell time op 34 dagen. Organisaties in het onderwijs of met minder dan 500 werknemers lieten hogere tijdswaarden zien.
  • Een langere dwell time en openstaande toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Forensisch bewijsmateriaal toont situaties waarin meerdere aanvallers – waaronder IAB’s, ransomware-groepen, cryptominers en soms zelfs meerdere ransomware-aanvallers – het tegelijkertijd op dezelfde organisatie hadden gemunt.
  • Ondanks een daling in het gebruik van Remote Desktop Protocol (RDP) voor externe toegang, hebben aanvallers de tool vaker gebruikt voor interne laterale bewegingen. Waar hackers in 2020 in 32 procent van de geanalyseerde gevallen een beroep deden op RDP voor externe activiteit, daalde dit in 2021 naar 13 procent. Hoewel dit een welkome evolutie is die erop wijst dat organisaties hun externe aanvalsoppervlakken beter beheren, misbruiken aanvallers RDP nog steeds voor interne laterale bewegingen. Sophos ontdekte dat aanvallers RDP hiervoor in 2021 in 82 procent van de gevallen gebruikten, een stijging ten opzichte van 2020 (69%).
  • Veel voorkomende combinaties van tools die voor aanvallen worden gebruikt, bieden een krachtig waarschuwingssignaal voor de activiteit van indringers. Uit onderzoeken naar incidenten bleek bijvoorbeeld dat PowerShell en schadelijke niet-PowerShell-scripts in 2021 in 64 procent van de gevallen samen werden aangetroffen. In 56 procent van de gevallen ging het om een combinatie van PowerShell en Cobalt Strike, terwijl PowerShell en PsExec in 51 procent van de cases samen zijn waargenomen. De detectie van dergelijke correlaties kan een vroegtijdige waarschuwing voor een dreigende aanval zijn of op een actieve aanval wijzen.
  • Bij 50 procent van de ransomware-incidenten was er sprake van bevestigde exfiltratie van data. De gemiddelde interval tussen de diefstal van gegevens en de inzet van ransomware bedroeg 4,28 dagen. Ransomware was betrokken bij 73% van de incidenten waarop Sophos in 2021 heeft gereageerd. De helft van deze ransomware-incidenten ging gepaard met data-exfiltratie. Vaak is data-exfiltratie de laatste fase van een aanval voordat ransomware wordt losgelaten. Uit onderzoek naar incidenten bleek dat er gemiddeld 4,28 dagen tussen zaten. De mediaan bedroeg 1,84 dagen.

Meest voorkomende ransomware-groep

Conti was de meest voorkomende ransomware-groep in 2021, goed voor 18 procent van alle incidenten. REvil-ransomware kwam voor bij één op tien incidenten. Andere dominante ransomware-families omvatten DarkSide, de RaaS die verantwoordelijk is voor de beruchte aanval op Colonial Pipeline in de VS, en Black KingDom, een van de 'nieuwe' ransomware-families die in maart 2021 verscheen in het kielzog van de ProxyLogon-kwetsbaarheid.

In de 144 incidenten uit de analyse zijn 41 verschillende ransomware-aanvallers geïdentificeerd. Ongeveer 28 hiervan waren nieuwe groepen die in 2021 voor het eerst gemeld zijn. Daarnaast zijn 18 ransomware-groepen betrokken bij incidenten uit 2020 van de lijst verdwenen.

“Alarmsignalen waar verdedigers op moeten letten zijn onder andere de detectie van een legitieme tool of combinatie van tools, of activiteit op een onverwachte plaats of een ongebruikelijk tijdstip”, licht Shier toe. “Er kunnen ook momenten met weinig of geen activiteit optreden, maar dat betekent niet dat er geen sprake is van een aanval op een organisatie. Zo zijn er waarschijnlijk nog veel meer ProxyLogon- of ProxyShell-inbreuken die op dit moment onbekend zijn. Daarbij kunnen webshells en backdoors voor persistente toegang in doelwitten geïmplementeerd zijn en in stilte wachten tot die toegang gebruikt of verkocht wordt."

Waakzaam blijven

Verdedigers moeten waakzaam zijn voor verdachte signalen en onmiddellijk een onderzoek instellen, benadrukt Shier. Ze moeten kritieke bugs patchen, voornamelijk in veelgebruikte software, en de beveiliging van remote access-diensten aanscherpen. "Totdat deze toegangspunten zijn afgesloten en alle sporen van aanvallers volledig zijn uitgeroeid, kan iedereen zomaar binnenkomen. En waarschijnlijk zullen ze dat ook daadwerkelijk doen.” De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Over het onderzoek

Het 'Sophos Active Adversary Playbook 2022' is gebaseerd op 144 incidenten uit 2021. Deze incidenten troffen organisaties van alle formaten en uiteenlopende industrieën. Ze bevinden zich in de VS, Canada, het VK, Duitsland, Italië, Spanje, Frankrijk, Zwitserland, België, Nederland, Oostenrijk, de Verenigde Arabische Emiraten, Saoedi-Arabië, de Filipijnen, de Bahama’s, Angola en Japan. De meest vertegenwoordigde sectoren zijn manufacturing (17%), retail (14%), gezondheidszorg (13%), IT (9%), de bouwsector (8%) en het onderwijs (6%).

The Active Adversary Playbook 2022
PDF – 770,0 KB 273 downloads

Bron: sophos.com, dutchitchannel.nl