Van exploits en experts: de professionalisering van cybercriminaliteit

Net zoals u op de hoogte blijft van het laatste nieuws, tools en thought leadership om uw organisatie te beschermen en te beveiligen tegen cybercriminelen, doen uw tegenstanders hetzelfde. Ze leggen contact op forums, evalueren nieuwe softwaretools, praten met potentiële kopers en zoeken naar nieuwe manieren om uw beveiligingsstack te slim af te zijn.

Een kijkje in hun wereld laat zien dat ze over geavanceerde mogelijkheden beschikken die vaak beter gefinancierde beveiligingsteams en zakelijke beveiligingstools te slim af zijn, vooral wanneer ze worden afgezet tegen verouderde oplossingen zoals op handtekeningen gebaseerde antivirusprogramma's. Veel security operations centers (SOC's) geven geen prioriteit aan echte bedreigingen, terwijl ze tijd verspillen aan het oplossen van andere bedreigingen die ze realistisch gezien nooit kunnen opschalen.

Beveiligingsverdedigers moeten verder gaan dan het mentale beeld van de eenzame figuur met een kap die in een slecht verlichte kelder zit terwijl sigarettenrook opstijgt uit een vuile asbak. Laten we de balans opmaken van de wereld van cybercriminaliteit zoals die vandaag bestaat: strategisch, gecommoditiseerd en samenwerkend (vooral als de criminelen geld te besteden hebben).

Strategische bedoeling ondersteunt elke aanval

Tegenstanders hebben altijd een zakelijk doel; er is een plan voor elk stukje malware. Om te beginnen snuffelen cybercriminelen rond om toegang te krijgen tot uw omgeving, op zoek naar iets dat ze kunnen stelen en mogelijk aan iemand anders kunnen doorverkopen. Terwijl een aanvaller het misschien niet weet precies wat ze willen doen als ze eenmaal toegang hebben tot uw omgeving, ze hebben de neiging om waarde te herkennen als ze het zien.

Ze kunnen verkenningen uitvoeren door te zoeken naar verkeerde configuraties of blootgestelde poorten om te exploiteren, een proces dat vaak triviaal eenvoudig wordt gemaakt door bekende CVE-databases en gratis open-poortscanners. Een eerste compromis kan ook worden bereikt door de inloggegevens van een gebruiker te stelen om toegang te krijgen tot de omgeving, een proces dat soms nog eenvoudiger is, voordat zij lateraal worden verplaatst om belangrijke bedrijfsmiddelen te identificeren.

De zwarte markt voor cyberwapens wordt volwassen

Cybercriminelen hebben een geavanceerde ondergrondse marktplaats ontwikkeld. Tools zijn geëvolueerd van relatief goedkope en low-tech producten naar producten met geavanceerde mogelijkheden die worden geleverd via bedrijfsmodellen die bekend zijn bij legitieme consumenten, zoals software as a service (SaaS). Bedreigingsjagers zijn getuige van de commoditisering van hacktools.

Phishing-kits, voorverpakte exploits en hulpprogramma's voor het klonen van websites waren vroeger heel gewoon. Ontworpen om inlogpagina's van websites na te bootsen, zoals Microsoft Office 365 of Netflix, waren deze tools jarenlang behoorlijk effectief in het vastleggen van gebruikersgegevens.

De afgelopen twee decennia heeft de beveiligingsgemeenschap echter op dit soort activiteiten gereageerd met technieken als patroonherkenning, URL-crawlen en gedeelde bedreigingsinformatie. Tools zoals VirusTotal hebben ervoor gezorgd dat de ontdekking van schadelijke bestanden bijna onmiddellijk wordt gedeeld met de bredere beveiligingsgemeenschap. Tegenstanders zijn zich hiervan natuurlijk terdege bewust en hebben zich aangepast.

Een nieuwe phishing-methodologie

De tegenstanders van vandaag hebben ook geleerd om te profiteren van de opkomst van multi-factor authenticatie (MFA) door het verificatieproces te kapen.

Een nieuw type phishing-kit heet EvilProxy. Net als kits uit het verleden, bootst het website-inlogpagina's na om gebruikers te misleiden om hun inloggegevens weg te geven. In tegenstelling tot phishing-kits uit het verleden die als eenmalige aankopen werden verkocht, werkt deze nieuwe methode – verkocht door specialisten in het compromitteren van toegang – via een huurmodel, waarbij de verkoper ruimte op zijn eigen server verhuurt voor het uitvoeren van phishing-campagnes.

Ze hosten een proxyserver die werkt als een SaaS-model. De service kost ongeveer $ 250 voor 10 dagen toegang. Hierdoor kunnen de SaaS-aanbieders meer geld verdienen en kunnen ze statistieken verzamelen die ze vervolgens op hackerforums kunnen publiceren om hun producten op de markt te brengen en te concurreren met andere verkopers.

Nieuwe kits hebben ingebouwde beveiligingen om hun phishing-omgeving te beschermen tegen onverwachte bezoekers. Omdat ze duidelijk niet willen dat webcrawlers hun sites indexeren, gebruiken ze botbescherming om crawlers te blokkeren, genuanceerde virtualisatiedetectietechnologie om beveiligingsteams af te weren die verkenningen uitvoeren via een virtuele machine (VM) en automatiseringsdetectie om te voorkomen dat beveiligingsonderzoekers crawlen hun kitwebsites vanuit verschillende invalshoeken.

Het scenario "Tegenstander in het midden".

In de context van het omzeilen van MFA, zorgt het optreden als een omgekeerde proxy voor de inhoud van de authentieke inlogpagina voor grote problemen bij typische phishing-detectie. Door tussen de gebruiker en de doelwebsite te zitten, stelt de reverse proxy-server de tegenstander in staat toegang te krijgen tot de gebruikersnaam, het wachtwoord en de sessiecookie die wordt ingesteld nadat MFA is voltooid. Ze kunnen de sessie vervolgens opnieuw afspelen in een browser en optreden als de gebruiker op die bestemming.

Voor de gebruiker ziet alles er normaal uit. Door kleine variaties van namen in de URL's te gebruiken, kunnen de cybercriminelen de site volkomen legitiem laten lijken, waarbij alles naar behoren werkt. Ondertussen hebben ze via die gebruiker ongeoorloofde toegang verkregen, die vervolgens voor eigen doeleinden kan worden uitgebuit of kan worden geveild aan de hoogste bieder.

Het bedrijfsmodel van de tegenstander

Naast nieuwe phishing-methodologieën wordt malware openlijk op internet verkocht en opereert het in een soort grijze ruimte, zwevend tussen legaal en illegaal. Een voorbeeld hiervan is BreakingSecurity.net, dat de software op de markt brengt als een tool voor bewaking op afstand voor ondernemingen.

Aan elk stuk malware is een prijs gekoppeld om tot een resultaat te komen. En deze uitkomsten hebben een duidelijke zakelijke bedoeling, of het nu gaat om het stelen van inloggegevens, het genereren van cryptocurrency, het eisen van losgeld of het verwerven van spionagemogelijkheden om rond te snuffelen in een netwerkinfrastructuur.

Tegenwoordig werken de makers van deze tools samen met de kopers via partnerprogramma's. Vergelijkbaar met een marketingplan op meerdere niveaus, zeggen ze tegen de aangesloten koper van de tool: "Kom naar me toe als je binnenkomt." Ze bieden zelfs productgaranties en 24/7 ondersteuning van de tool in ruil voor het delen van de winst. Hierdoor kunnen ze schalen en een hiërarchie opbouwen. Andere soorten cybercriminele ondernemers verkopen reeds bestaande compromissen aan de hoogste bieder. Er zijn meerdere businessmodellen in het spel.

De realiteit van vandaag: argumenten voor een geavanceerde cloud-sandbox

Beveiligingsteams moeten begrijpen wat de tegenstanders van vandaag doen en hoe snel hun acties kunnen uitpakken. De geavanceerde malware die nu op de markt is, is zelfs nog ernstiger dan phishing. Of het nu maldocs zijn die filters omzeilen, ransomware, informatiedieven, trojans voor externe toegang (RAT's) of post-exploitatietools die toolsets combineren, bedreigingsactoren zijn geavanceerder dan ooit tevoren - en dat geldt ook voor hun bedrijfsmodellen.

Tegenmaatregelen op basis van standaard sandboxes bieden weinig inline-preventie. Detectie die cloud en AI combineert, kan de meest onopvallende bedreigingen inline, in realtime en op schaal stoppen.

Als je niet evolueert met tegenstanders, raak je achterop. Omdat de cybercriminelen van vandaag net zo professioneel en op hun spel zijn als jij.

Lees meer Partnerperspectieven van Zscaler.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
Bron: https://www.darkreading.com/zscaler/of-exploits-and-experts-the-professionalization-of-cybercrime

Generatieve data-intelligentie

Van exploits en experts: de professionalisering van cybercriminaliteit

Strategische bedoeling ondersteunt elke aanval

De zwarte markt voor cyberwapens wordt volwassen

Een nieuwe phishing-methodologie

Het scenario "Tegenstander in het midden".

Het bedrijfsmodel van de tegenstander

De realiteit van vandaag: argumenten voor een geavanceerde cloud-sandbox

Honda lanceert 3 nieuwe elektrische auto’s… In China, voor China – CleanTechnica

De Amerikaanse luchtmacht zegt dat door AI bestuurde F-16 tegen mensen heeft gevochten

Laatste intelligentie

Kunstmatig: leer hoe u kunstmatige intelligentie kunt gebruiken voor crowdfunding-projectpitch van Indiegogo

Lightning Kayaks AIR 9: Opblaasbaar pedaalbord crowdfunding-project pitch door Indiegogo

Quest 2 accessoireprijzen met meer dan 50% verlaagd

De VS betrekken Mexico bij hun anti-Chinese EV-beleid – CleanTechnica

Chinese wetenschappers claimen doorbraak in het detecteren van F-22 stealth-jets: F-22 stealth bedreigd? – Technische startups

Netflix, Apple, Shell en Delta doen mee aan de Keniaanse hausse aan koolstofkredieten

Chat met ons