Rapporten
Samenvatting van het CrowdStrike 2023 Threat Hunting Report
De CrowdStrike 2023 Threat Hunting Report legt de nadruk op de voortschrijdende dreigingen in de cyberspace, met een specifieke focus op identiteitsbedreigingen, eCrime-trends, en de toenemende vaardigheden van tegenstanders in cloudomgevingen. Identiteitsbedreigingen omvatten geavanceerde tactieken zoals Kerberoasting en het misbruiken van zwakke referenties. Het rapport wijst op een toename van Kerberoasting-aanvallen met 583%, wat duidt op de effectiviteit van deze methode voor het verkrijgen van toegang tot bevoorrechte accounts. Het rapport identificeert de toenemende behendigheid van tegenstanders in cloudomgevingen, waarbij ze vaak beter bekend zijn met de cloudconfiguraties van hun slachtoffers dan de organisaties zelf. Ze maken gebruik van veelvoorkomende misconfiguraties en misbruiken ingebouwde cloudbeheertools. Daarnaast worden cross-platform vaardigheden benadrukt als een kenmerk van interactieve inbreuken in het afgelopen jaar, met aanvallers die in staat zijn om meerdere besturingssystemen te navigeren. De technologie- en financiële sectoren worden het meest getroffen, met een opmerkelijke toename van 80% in interactieve inbreuken op financiële diensten. Noord-Koreaanse actoren zijn bijzonder agressief in hun targeting van de financiële sector. Het rapport benadrukt ook de noodzaak voor organisaties om hun externe aanvalsoppervlak te monitoren, kwetsbaarheden te beheren en te patchen, en om legitieme remote monitoring en management tools te beveiligen tegen misbruik door aanvallers. Een belangrijk onderdeel van de verdediging tegen deze dreigingen is het monitoren van identiteitsgerelateerde data, zoals gebruikersaccounts en authenticatieprocedures. Het rapport beveelt aan om gebruik te maken van Zero Trust-modellen en proactieve en continue jacht op identiteitsgerelateerd misbruik. Ook wordt aangeraden om Windows Event logs te onderzoeken op aanwijzingen van Kerberoasting en om activiteiten van serviceaccounts die waarschijnlijk doelwitten zijn voor Kerberoasting te controleren.
Beveiligingsuitdagingen en Verdedigingsstrategieën in ICS/OT-omgevingen: Een Analyse van 2023
De SANS ICS/OT Cybersecurity Survey van 2023 biedt inzichten in de huidige bedreigingen en verdedigingsmechanismen in de wereld van industriële controlesystemen (ICS) en operationele technologie (OT). De bevindingen benadrukken de toenemende complexiteit van cyberdreigingen, met name gericht op kritieke infrastructuren en systemen. Een sleutelaspect van de huidige ICS-dreigingslandschap is de toename van gerichte aanvallen en ransomware, die zowel directe ICS-systemen als aanverwante diensten beïnvloeden. Deze ontwikkeling benadrukt de noodzaak van proactieve verdedigingsstrategieën en een diepgaand beveiligingsprogramma dat specifiek gericht is op ICS. Het rapport stelt dat reactieve beveiligingsbenaderingen - wachten tot preventieve controles falen - organisaties in een nadelige positie plaatsen. In plaats daarvan is een proactieve benadering nodig, waarbij men ervan uitgaat dat verdedigingsmechanismen uiteindelijk kunnen falen. Dit vereist een focus op dreigingsopsporing en het aanpassen van verdedigingsstrategieën om de efficiëntie van aanvallers te verminderen. De enquête van 2023 onthult verschillende veranderingen en zorgen, waaronder een gebrek aan inspanningen in bepaalde risicovolle gebieden. Het benadrukt de behoefte aan specifieke ICS-beveiligingsvaardigheden en -training en wijst op het toenemende gebruik van cloudservices in ICS-omgevingen, wat nieuwe risico's met zich meebrengt. Belangrijk is dat de enquête de "SANS Five ICS Cybersecurity Critical Controls" identificeert, die van cruciaal belang zijn gezien het huidige dreigingslandschap. Deze controles zijn flexibel genoeg om aangepast te worden aan specifieke organisatorische risicomodellen en kunnen worden gekoppeld aan bestaande normen en kaders. Het rapport behandelt ook de uitdagingen van penetratietesten in ICS-omgevingen, waarbij de nadruk wordt gelegd op de noodzaak van zorgvuldige planning en coördinatie met engineeringteams. Daarnaast wordt de noodzaak van effectieve incidentresponsplannen benadrukt, waarbij interne en externe middelen worden ingezet om ICS-specifieke beveiligingsteams te ondersteunen. Ten slotte benadrukt het rapport het belang van voortdurende investeringen in ICS-cyberbeveiliging, ondanks budgettaire uitdagingen. Dit omvat het focussen op zichtbaarheid, detectie en fysieke beveiliging, evenals het investeren in cybersecurity-educatie voor IT/OT-personeel. Kortom, de SANS ICS/OT Cybersecurity Survey van 2023 schetst een dynamisch en uitdagend landschap voor cyberbeveiliging binnen ICS en OT. Het onderstreept de noodzaak van een uitgebreide, proactieve benadering van cyberverdediging, gericht op zowel de huidige bedreigingen als toekomstige risico's.
De Staat van Ransomware in de Detailhandel 2023
Het jaarlijkse onderzoek van Sophos naar ransomware in de detailhandel, uitgevoerd tussen januari en maart 2023 onder 3000 IT/cybersecurity leiders uit 14 landen, waaronder 355 uit de retailsector, toont een daling in ransomware-aanvallen in deze sector: van 77% in 2022 naar 69% in 2023. Desondanks is dit percentage nog steeds aanzienlijk, aangezien meer dan twee derde van de retailorganisaties het afgelopen jaar werd getroffen. De voornaamste oorzaken van de aanvallen waren uitgebuite kwetsbaarheden (41%), gecompromitteerde inloggegevens (22%) en phishing (17%). Opvallend is de toename in data encryptie bij aanvallen tot 71%, en het hoge percentage (97%) van retailorganisaties die hun gegevens wisten te herstellen, waarbij 68% vertrouwde op back-ups en 43% het losgeld betaalde. De aanwezigheid van een standalone cyberverzekeringspolis bleek de neiging tot het betalen van losgeld te beïnvloeden, met 49% van de organisaties met zo'n polis die het losgeld betaalden. De gemiddelde losgeldbetaling in de retailsector steeg aanzienlijk naar $2.458.481 in 2023, bijna 60% hoger dan het wereldwijde gemiddelde. De herstelkosten van ransomware-aanvallen in de retail bedroegen gemiddeld $1,85 miljoen, een stijging ten opzichte van $1,27 miljoen in het voorgaande jaar. Zakelijk/inkomensverlies als gevolg van ransomware-aanvallen werd gemeld door 82% van de getroffen retailorganisaties, en de hersteltijd is toegenomen, met een groter aantal organisaties die meer dan een maand nodig hadden om te herstellen. Sophos benadrukt het belang van het versterken van defensieve maatregelen, waaronder regelmatige back-ups, het bijwerken van incidentresponsplannen en het onderhouden van goede beveiligingshygiëne. Ransomware blijft een grote bedreiging voor retailorganisaties, waarbij ransomware-as-a-service en geavanceerde aanvalstactieken de noodzaak voor versterkte verdediging en voorbereiding benadrukken.
Cyberveiligheid in 2024: Vooruitblik op Nieuwe Dreigingen en Strategieën
De cybercriminaliteit is in een constante staat van evolutie, waarbij criminelen steeds meer gebruik maken van geavanceerde AI-technologieën. Dit verhoogt zowel de efficiëntie als de nauwkeurigheid van hun aanvallen, waardoor nieuwe uitdagingen ontstaan voor proactieve cybersecuritystrategieën. Cybersecurity wordt steeds meer erkend als een kritische bedrijfsfunctie, waarbij een grotere internationale samenwerking tussen overheden en cybersecurity-leveranciers is ontstaan om deze bedreigingen het hoofd te bieden. In 2024 zullen organisaties geconfronteerd worden met geavanceerdere tactieken en technologieën, bredere doelwitten, en hogere risico's. Bedrijven moeten daarom overstappen van reactieve naar proactieve beveiligingsmaatregelen, met een nadruk op zowel externe als interne cyberdreigingsinformatie die relevant en contextueel is voor elke organisatie. AI wordt verwacht om toegankelijker te worden en er zullen stappen worden gezet om de betrouwbaarheid, diversiteit en privacy van data te verbeteren. Dit zal resulteren in een verbetering van de kwaliteit van AI-gestuurde oplossingen, waardoor AI een essentieel onderdeel wordt van proactieve cybersecurity. Tegelijkertijd zullen cybercriminelen AI in toenemende mate gebruiken als een aanvalsinstrument. Dit zal leiden tot geautomatiseerde grootschalige cyberaanvallen, geavanceerde phishing-campagnes en de creatie van schadelijke content gericht op bedrijven en hun klanten. Daarnaast zal de groeiende afhankelijkheid van AI leiden tot nieuwe privacyzorgen en de noodzaak voor regelgeving rond AI en gegevensprivacy. Cybersixgill benadrukt het belang van het minimaliseren van dataoverdracht, het maskeren van gevoelige informatie, en het gebruik van lokale verwerking om de privacy te waarborgen. Tenslotte wordt verwacht dat geopolitieke en andere kwesties in 2024 zullen leiden tot een verbreding van de motivaties van aanvallers, waarbij financieel gewin niet langer de enige drijfveer is. Dit zal resulteren in een groeiend aantal doelwitten, aanvalsvectoren en tactieken, waardoor organisaties hun benadering van cybersecurity moeten aanpassen om met deze veranderende dreigingen om te gaan.
Veranderingen in Cyberdreigingen in de Eerste Helft van 2023
In de eerste helft van 2023 (H1) is er een opmerkelijke verschuiving opgemerkt in het patroon van Denial-of-Service (DoS) aanvallen. Cybercriminelen richten zich steeds meer op geavanceerde applicatieniveau Web Distributed Denial-of-Service (Web DDoS) aanvallen in plaats van traditionele netwerk DDoS-aanvallen. Deze nieuwe generatie aanvallen, waaronder DNS-query floods en HTTPS Floods, kenmerkt zich door hogere verzoeksnelheden per seconde en complexere tactieken, waardoor ze moeilijker te detecteren en te mitigeren zijn. Een significant aspect van deze trend is de toenemende betrokkenheid van hacktivistische groepen, zoals Anonymous Sudan en NoName057(16). Deze groepen gebruiken vaak crowdsourced botnets en bieden vrijwilligers aangepaste aanvalstools en handleidingen om deze aanvallen uit te voeren. De verschuiving van aanvallen op netwerklagen naar applicatielagen houdt in dat nu niet alleen online applicaties en hun API's, maar ook essentiële infrastructuur zoals het Domain Name System (DNS) worden getarget. Een opvallende ontwikkeling is de overgang van cybercriminelen naar cloud-gebaseerde operaties. Door over te schakelen van gecompromitteerde IoT-apparaten naar cloudservices kunnen ze krachtigere aanvalscapaciteiten opbouwen, met betere beheersbaarheid en lagere detectiekansen. Dit wordt versterkt door het gebruik van bulletproof hosting en proxydiensten, wat bijdraagt aan de frequentie en geavanceerdheid van Web DDoS-aanvallen. In H1 2023 is het aantal kwaadaardige webapplicatietransacties met 500% gestegen ten opzichte van 2022. Ondanks een daling van 33% in het totale aantal DDoS-gebeurtenissen en een vermindering van 70% in de gemiddelde aanvalsvolume per klant per maand, overtrof het aantal DDoS-gebeurtenissen in H1 2023 het totale aantal van heel 2021. Deze veranderingen in het cyberdreigingslandschap vereisen dat organisaties proactief aanpassen aan de evoluerende cyberdreigingen, met een bijzondere focus op geavanceerde applicatieniveau Web DDoS-aanvallen.
Bestrijding van Fraude: AI als de Wachter bij de Digitale Poorten
Experian's 2023 onderzoeksrapport over fraude benadrukt de cruciale rol van kunstmatige intelligentie (AI) bij het bestrijden van fraude in het digitale tijdperk. Dit rapport, opgesteld met inzichten van 308 fraudeleiders in de financiële, telecommunicatie- en e-commerce sectoren uit tien landen, werpt licht op de toenemende complexiteit en prevalentie van fraude, vooral in verband met de opkomst van Generative AI (GenAI). Het rapport constateert een alarmerende toename van fraudeverliezen, waarbij 73% van de respondenten een toename rapporteerde in het afgelopen jaar. Financiële diensten zijn het zwaarst getroffen, met 78% die een toename meldt. De groei van de digitale marktplaats en de toename van datalekken dragen bij aan deze trend. GenAI, met zijn vermogen om hoogwaardige vervalsingen en synthetische identiteiten te creëren, verhoogt verder het risico op fraude. Het rapport benadrukt dat AI de sleutel is tot het effectief bestrijden van deze geavanceerde fraudevormen. AI's vermogen om enorme datasets in realtime te analyseren en patronen te identificeren, is van onschatbare waarde voor fraudepreventie. De inzet van AI in een gelaagde aanpak is essentieel, waarbij elke gebruikerssessie continu op fraude wordt gescand. Bijzondere aandacht wordt besteed aan de impact van AI op identiteitsverificatie. Biometrische verificatie en apparaatintelligentie worden als cruciaal beschouwd, maar de snelle ontwikkeling van AI-technologieën betekent dat zelfs geavanceerde identificatietechnieken continu moeten evolueren om effectief te blijven. Het rapport concludeert dat de toekomst van fraudepreventie sterk afhankelijk is van AI- en ML-oplossingen, gezien hun vermogen om aan te passen en te evolueren in reactie op veranderende fraudepatronen. De nadruk ligt op het belang van transparante en uitlegbare ML-modellen, die essentieel zijn voor het vertrouwen in en de effectiviteit van deze technologieën.
7 Best Practices for Ransomware Recovery
Ransomware-aanvallen vormen een toenemende bedreiging voor organisaties wereldwijd, waarbij de noodzaak van effectieve herstelstrategieën urgenter wordt. In het document '7 Best Practices for Ransomware Recovery' worden essentiële stappen uiteengezet die organisaties kunnen volgen om hun veerkracht tegen deze kwaadaardige aanvallen te versterken en de schade te beperken. Het document benadrukt het belang van gegevensweerbaarheid, waarbij een gedegen back-upstrategie cruciaal is. Dit houdt in dat er meerdere kopieën van gegevens op verschillende locaties bewaard worden, inclusief off-site en offline bewaring om onveranderlijkheid te waarborgen. Verder wordt het belang van een snel herstel benadrukt, waarbij technologieën zoals instant herstel en replicatie van cruciaal belang zijn om operationele continuïteit te waarborgen. Gelaagde beveiliging is een andere pijler, die de nadruk legt op sterke authenticatie en bescherming van data in alle staten. Actieve monitoring en analyses zijn van vitaal belang om opkomende dreigingen tijdig te detecteren en de respons te versnellen. Het document spreekt zich ook uit voor het automatiseren van beveiliging van documentatie en testprocessen, wat helpt om noodherstelplannen actueel en operationeel te houden. Door gebruik te maken van API's voor dreigingsdetectie, kunnen organisaties de integriteit van hun back-upgegevens waarborgen zonder de productieomgeving in gevaar te brengen. Tot slot wordt het belang van voorbereiding op een scenario waarin het datacentrum ontoegankelijk is onderstreept, waarbij de overgang naar een externe locatie, zoals de cloud, een levensvatbare oplossing biedt.
ESET APT Activiteitenrapportage voor Q2-Q3 2023
Het rapport biedt een gedetailleerde analyse van de activiteiten van geavanceerde persistente dreigingen (APT's) die waargenomen, onderzocht en geanalyseerd zijn door ESET-onderzoekers. In deze periode werd een aanzienlijke strategie van APT-groepen onthuld waarbij bekende kwetsbaarheden werden geëxploiteerd om gegevens van overheidsentiteiten te extraheren. Russisch gealigneerde groepen zoals Sednit en Sandworm, Noord-Korea gealigneerde groepen zoals Konni, en geografisch niet-toegewezen groepen zoals Winter Vivern en Sturgeon Phisher maakten gebruik van kwetsbaarheden in software zoals WinRAR, Roundcube, Zimbra en Outlook voor Windows om overheidsorganisaties in Oekraïne, Europa en Centraal-Azië te targeten. China gealigneerde bedreigingsactoren hebben waarschijnlijk zwakheden in Microsoft Exchange-servers of IIS-servers uitgebuit. Iran en Midden-Oosten gealigneerde groepen bleven actief, met name gericht op spionage en datadiefstal van organisaties in Israël, waarbij MuddyWater ook een entiteit in Saoedi-Arabië targette, wat de mogelijkheid suggereert dat deze dreigingsactor als een toegangsontwikkelingsteam voor een meer geavanceerde groep functioneerde. Russisch gealigneerde groepen bleven zich richten op Oekraïne, met de ontdekking van nieuwe versies van bekende wipers zoals RoarBat en NikoWiper, en een nieuwe wiper genaamd SharpNikoWiper, allemaal ingezet door Sandworm. Interessant is dat andere groepen, zoals Gamaredon, GREF en SturgeonPhisher, Telegram-gebruikers targeten om informatie of ten minste enige Telegram-gerelateerde metadata te extraheren, terwijl Sandworm deze dienst gebruikte voor actieve maatregelen en het adverteren van zijn cyber-sabotageoperaties. Noord-Korea gealigneerde groepen bleven zich richten op Japan, Zuid-Korea en op Zuid-Korea gefocuste entiteiten, en gebruikten zorgvuldig gemaakte spearphishing-e-mails. Lazarus voerde Operation DreamJob uit en lokte doelwitten met nep-aanbiedingen voor lucratieve posities. Deze groep demonstreerde consequent het vermogen om malware te creëren voor alle belangrijke desktopplatforms. De rapportage benadrukt ook de activiteiten van drie voorheen niet-geïdentificeerde China gealigneerde groepen: DigitalRecyclers, die een overheidsorganisatie in de EU herhaaldelijk compromitteerde; TheWizards, die vijand-in-het-midden-aanvallen uitvoerde; en PerplexedGoblin, die een andere overheidsorganisatie in de EU targette. ESET APT-rapporten bevatten slechts een fractie van de cybersecurity-intelligentiegegevens die aan klanten van ESET's private APT-rapporten worden verstrekt. ESET-onderzoekers bereiden diepgaande technische rapporten en frequente activiteitensamenvattingen voor om organisaties te helpen die belast zijn met de bescherming van burgers, kritieke nationale infrastructuur en waardevolle activa tegen criminele en door de staat geleide cyberaanvallen. De gedeelde intelligentie is voornamelijk gebaseerd op eigen ESET-telemetriegegevens en is geverifieerd door ESET-onderzoekers.
Toestand van Dreigingsinformatie in 2023: Een Onderzoeksperspectief
In 2023 heeft een onderzoek onder cybersecuritymanagers en -professionals aangetoond dat dreigingsinformatie een cruciale rol speelt in de verdediging tegen en respons op cyberbedreigingen. Het rapport verheldert de manieren waarop organisaties dreigingsinformatie toepassen, hun bronnen en de verbeteringsplannen hiervoor. De uitkomsten onthullen dat dreigingsinformatie wordt benut voor diverse doeleinden, zoals incidentrespons, risicoanalyse en het verhogen van veiligheidsbewustzijn. De meerwaarde van dreigingsinformatie is omvangrijk, het bevordert niet alleen de operationele efficiëntie maar ook de strategische besluitvorming. Het rapport werpt licht op de favoriete bronnen en leveranciers van dreigingsinformatie en hoe deze keuzes de kwaliteit en toepasbaarheid beïnvloeden. Verder benadrukt het document het belang van organisatorische plannen voor de integratie van dreigingsinformatie en de groeiende vraag naar gespecialiseerd personeel en middelen om deze integratie te faciliteren. Dit wordt weerspiegeld in de investeringen die organisaties bereid zijn te maken voor de verbetering van hun capaciteiten op het gebied van dreigingsinformatie, wat wijst op een verhoogd bewustzijn van het belang ervan. De conclusie van het rapport accentueert dat, ondanks uitdagingen in het verkrijgen en benutten van dreigingsinformatie, er een positieve tendens is waar te nemen in de bereidheid van organisaties om te investeren in de verbetering van hun dreigingsinformatieprocessen. Het onderstreept de behoefte aan continue evolutie en aanpassing van de dreigingsinformatiestrategieën om bij te blijven met de dynamisch veranderende landschap van cyberbedreigingen.
Toename van IoT-Malware Bedreigingen in 2023
In 2023 heeft de Zscaler ThreatLabz een alarmerende toename van 400% in IoT-malware-aanvallen waargenomen vergeleken met het jaar daarvoor. Dit rapport, "2023 Enterprise IoT en OT Threat Report", benadrukt de cruciale uitdagingen en trends binnen de IoT-veiligheidsdomeinen. De bevindingen onthullen dat botnets zoals Mirai en Gafgyt een centrale rol spelen in de escalatie van deze aanvallen. Organisaties en individuen die steeds meer afhankelijk zijn van internetverbonden apparaten worden geconfronteerd met de toenemende taak om hun netwerken te beveiligen. Hoewel er regelgeving en standaarden in ontwikkeling zijn om fabrikanten te sturen in het verstevigen van de beveiliging, blijft het implementeren van effectieve beveiligingsmaatregelen een primaire verantwoordelijkheid van de gebruikers zelf. Het rapport presenteert inzichten die organisaties kunnen helpen de huidige staat van IoT-dreigingen te begrijpen en biedt praktijken om hun systemen te beschermen. Het benadrukt ook het belang van robuuste beveiligingsstrategieën voor operationele technologie (OT), vooral in het licht van de toenemende convergentie tussen IoT en OT. Deze samensmelting wordt voornamelijk gedreven door digitale transformaties binnen kritische sectoren zoals de productie-industrie. De bevindingen van dit rapport zijn essentieel voor organisaties die de veiligheid van hun IoT- en OT-omgevingen willen waarborgen. Het biedt een basis voor het ontwikkelen van veerkrachtige systemen die bestand zijn tegen de groeiende en evoluerende cyberdreigingen. Met de juiste kennis en voorbereiding kunnen organisaties anticiperen op en reageren op de uitdagingen die deze nieuwe golf van cyberaanvallen met zich meebrengt.
Toename en Evolutie van Ransomware-aanvallen in Oktober 2023
In oktober 2023 is een recordaantal van 64 publiekelijk bekendgemaakte ransomware-aanvallen geregistreerd, wat een stijging van 45% betekent ten opzichte van vorig jaar en de drukste oktobermaand sinds het begin van deze rapportages in 2020. De overheid en de gezondheidszorg waren de meest getroffen sectoren met respectievelijk zestien en veertien aanvallen. Prominente ransomwarebendes zoals BlackCat en LockBit waren verantwoordelijk voor de meeste incidenten. Bovendien is er een toename van nieuwe groeperingen waargenomen, waaronder een die mogelijk een hermerk is van een eerdere groep. De aanvallen blijken geavanceerder en doelgerichter te worden, waarbij aanvallers zich steeds vaker richten op specifieke kwetsbaarheden binnen organisaties. De impact van deze aanvallen is aanzienlijk, met verstoringen van essentiële diensten en langdurige gevolgen voor de getroffen organisaties. Het rapport benadrukt ook een zorgwekkende trend waarbij ransomwaregroepen zich aanpassen en nieuwe technieken ontwikkelen om detectie te omzeilen en hun slagkracht te vergroten. De auteurs van het rapport roepen op tot verhoogde waakzaamheid en verbeterde cyberbeveiligingspraktijken, waaronder het regelmatig bijwerken van systemen, het trainen van medewerkers in het herkennen van phishingpogingen en het verzekeren van een sterke back-up en recovery strategie. Het rapport onderstreept het belang van samenwerking tussen organisaties en cybersecurityexperts om informatie te delen en sneller te reageren op bedreigingen. Deze samenvatting biedt een beknopt overzicht van de belangrijkste punten uit het rapport, gericht op de stijging van het aantal aanvallen, de betrokken sectoren en de oproep tot verbeterde beveiligingsmaatregelen.