Ken je vijand! Ontdek hoe aanvallers op het gebied van cybercriminaliteit binnendringen...

by
Paul Ducklin

Op onze zustersite, Sophos Nieuws, we hebben er net een paar gepubliceerd fascinerende en informatieve inzichten in cybercriminelen...

… de echt praktische vraag beantwoorden, "Hoe doen ze dat?"

In theorie kunnen (en zullen) de boeven alle duizenden verschillende aanvalstechnieken gebruiken, in elke gewenste combinatie.

In het echte leven zegt goed risicobeheer echter dat het slim is om je eerst op de grootste problemen te concentreren, ook al zijn dit niet de meest glamoureuze of opwindende cyberbeveiligingsonderwerpen om je in te verdiepen.

Dus in het echte leven wat echt werkt voor de cybercriminelen wanneer ze een aanval beginnen?

Net zo belangrijk, wat voor dingen doen ze als ze eenmaal hebben ingebroken?

Hoe lang blijven ze meestal in je netwerk rondhangen als ze eenmaal een bruggenhoofd hebben gecreëerd?

Hoe belangrijk is het om de onderliggende oorzaak van een aanval te vinden en te behandelen, in plaats van alleen de voor de hand liggende symptomen aan te pakken?

Het actieve tegenstander-playbook

Sophos-expert John Shier verdiepte zich in de incidentrapporten van 144 real-life cyberaanvallen die door de Sophos snelle reactie team in 2021.

Wat hij vond, zal je misschien niet verbazen, maar het is niettemin essentiële informatie, want het is wat er echt is gebeurd, niet alleen wat had kunnen gebeuren.

Met name:

Niet-gepatchte kwetsbaarheden waren het toegangspunt voor bijna 50% van de aanvallers.
Aanvallers zitten langer dan een maand vast gemiddeld wanneer ransomware niet hun primaire doel was.
Van aanvallers was bekend dat ze gegevens hadden gestolen in ongeveer 40% van de incidenten. (Niet alle gegevensdiefstallen kunnen natuurlijk worden bewezen, aangezien er geen gapend gat is waar uw kopie van de gegevens zich vroeger bevond, dus het werkelijke aantal kan veel hoger zijn.)
RDP is misbruikt om het netwerk te omzeilen door meer dan 80% van de aanvallers nadat ze hadden ingebroken.

Intrigerend, maar misschien niet verrassend, hoe kleiner de organisatie, hoe langer de boeven in het netwerk waren voordat iemand het opmerkte en besloot dat het tijd was om ze eruit te schoppen.

In bedrijven met 250 medewerkers en minder bleven de boeven hangen (in het jargon staat dit bekend door de ouderwetse auto-metafoor van verblijfstijd) voor gemiddeld meer dan zeven weken.

Dit vergeleken met een gemiddelde verblijftijd van iets minder dan drie weken voor organisaties met meer dan 3000 medewerkers.

Zoals u zich kunt voorstellen, bleven ransomware-criminelen echter doorgaans veel korter verborgen (iets minder dan twee weken, in plaats van iets meer dan een maand), niet in de laatste plaats omdat ransomware-aanvallen inherent zelfbeperkend zijn.

Immers, zodra ransomware-boeven al uw gegevens hebben versleuteld, zijn ze uit hun schuilplaats en gaan ze rechtstreeks naar hun in-your-face chantage-fase.

Wie maakt ransomware-aanvallen zo verwoestend?

Belangrijk is dat er hele klieken van cybercriminaliteit zijn die niet in de regelrechte confrontatie van de ransomware-bendes zijn.

Deze "niet-ransomware"-boeven omvatten een aanzienlijke groep die in de handel bekend staat als: IAB'sof eerste toegangsmakelaars.

IAB's halen hun onrechtmatige inkomsten niet uit het afpersen van uw bedrijf na een gewelddadige zichtbare aanval, maar uit het helpen en aanzetten van andere criminelen om dit te doen.

Inderdaad, deze IAB-criminelen kunnen uw bedrijf op de lange termijn veel meer schade berokkenen dan ransomware-aanvallers.

Dat komt omdat hun typische doel is om zoveel mogelijk over u (en uw personeel en uw bedrijf en uw leveranciers en klanten) te leren, gedurende een zo lang mogelijke periode.

Dan verdienen ze hun onwettig inkomen door die gegevens verkopen op aan andere cybercriminelen.

Met andere woorden, als je je afvraagt hoe ransomware-boeven vaak zo snel binnen kunnen komen, netwerken zo grondig in kaart kunnen brengen, zo resoluut kunnen aanvallen en zulke dramatische chantage-eisen kunnen stellen...

... het kan heel goed zijn omdat ze hun eigen kant-en-klare "Active Adversary Playbook" hebben gekocht van eerdere boeven die al stilletjes maar uitgebreid door je netwerk hadden gezworven.

RDP nog steeds als schadelijk beschouwd

Een beetje goed nieuws is dat RDP (Microsoft's Remote Desktop Protocol) is tegenwoordig veel beter beschermd aan de rand van het netwerk van een gemiddeld bedrijf, met minder dan 15% van de aanvallers die RDP als hun eerste toegangspunt gebruiken. (Het jaar daarvoor was het meer dan 30%.)

Maar het slechte nieuws is dat veel bedrijven het concept van Geen vertrouwen or Moet weten.

Veel interne netwerken hebben nog steeds wat cynische systeembeheerders al jaren 'een zacht, kleverig interieur' noemen, ook al hebben ze wat lijkt op een harde buitenkant.

Dat blijkt uit de statistiek dat in meer dan 80% van de aanvallen RDP werd misbruikt om de aanvallers te helpen van computer naar computer te springen zodra ze die buitenste schil hadden gekraakt, in wat bekend staat onder de term prolix-jargon laterale beweging.

Met andere woorden, hoewel veel bedrijven hun extern toegankelijke RDP-portalen lijken te hebben versterkt (iets wat we alleen maar kunnen toejuichen), lijken ze nog steeds sterk te vertrouwen op zogenaamde perimeter verdedigingen als een primaire cyberbeveiligingstool.

Maar de netwerken van vandaag, vooral in een wereld met veel meer op afstand werken en 'telepresence' dan drie jaar geleden, hebben niet echt een perimeter meer.

(Als een real-world analogie, bedenk dat veel historische steden nog steeds stadsmuren hebben, maar dat ze nu niet meer zijn dan toeristische attracties die zijn opgenomen in moderne stadscentra.)

Wat te doen?

Op grond van het feit dat het kennen van je cybervijand het minder waarschijnlijk maakt dat je verrast wordt...

...ons eenvoudige advies is om: Lees het rapport.

Zoals John Shier in zijn conclusie aangeeft:

Totdat [een] blootgesteld toegangspunt is gesloten en alles wat de aanvallers hebben gedaan om toegang te krijgen en te behouden volledig is uitgeroeid, kan bijna iedereen achter hen aanlopen. En waarschijnlijk zal.

Onthoud: als je hulp nodig hebt, is dat geen bekentenis van mislukking erom te vragen.

Immers, als u uw netwerk niet doorzoekt om de gevarenpunten te vinden, kunt u er zeker van zijn dat cybercriminelen dat wel zullen doen!

Niet genoeg tijd of personeel? Meer informatie over Sophos Managed Threat Response:
Sophos MTR – Door experts geleide respons ▶
24/7 jacht op bedreigingen, detectie en reactie ▶

Generatieve data-intelligentie

Ken je vijand! Ontdek hoe tegenstanders van cybercriminaliteit binnenkomen...

Het actieve tegenstander-playbook

Wie maakt ransomware-aanvallen zo verwoestend?

RDP nog steeds als schadelijk beschouwd

Wat te doen?

Zal marihuana je helpen er goed uit te zien in een zwempak?

Zal marihuana je helpen er goed uit te zien in een zwempak?

Laatste intelligentie

Wat is de beste marketingstrategie om mensen ertoe aan te zetten zich bij uw Crypto-project aan te sluiten? – Muntband

Bell's verlamming en marihuana

Hoe videogames de gokindustrie beïnvloeden: de eigenaardigheden van samenwerking

Legerfunctionarissen trekken het plan voor toekomstige aanvalsverkenning in twijfel

Shangri La is de perfecte keuze voor slimme toekomstige gokkers

Duitsland heft de beperkingen op, India kan nu handvuurwapens van zijn bedrijven kopen