Uit nieuw onderzoek van Trend Micro blijkt dat het totaal aantal geblokkeerde dreigingen in 2023 is toegenomen met 10%. Het cyberbeveiligingsbedrijf waarschuwt dat aanvallers daarbij steeds geavanceerdere methoden gebruiken om slachtoffers gerichter te benaderen, waardoor er een hoger potentieel is voor financieel gewin.
“We blokkeren meer dreigingen dan ooit tevoren”, zegt Jon Clay, VP of Threat Intelligence bij Trend Micro. “Aanvallers gebruiken verschillende soorten TTP’s (tactics, techniques, procedures) in hun aanvallen die verschillende niveaus laten zien, met name bij het ontwijken van de verdediging van organisaties. Ons onderzoek laat zien dat verdedigers risico’s proactief moeten beheren over het gehele aanvalsoppervlak. Het begrijpen van de strategieën die door aanvallers gebruikt worden is de basis van een effectieve verdediging.”
Trend Micro blokkeerde 160 miljard dreigingen in 2023. Ter vergelijking: vijf jaar geleden was dat nog ‘maar’ 92 miljard. Dreigingen op basis van e-mail en webreputatie namen met respectievelijk 47% en 2% af. Dreigingen die geblokkeerd werden door de Mobile Application Reputation Service van Trend (-2%), Smart Home Network (-12%) en Internet of Things Reputation Service (-64%) namen ook af. Er was echter een toename zichtbaar in dreigingen die geblokkeerd werden door de File Reputation Service (FRS) van Trend. Dit kan een indicatie zijn dat dreigingsactoren hun doelwitten zorgvuldiger kiezen. In plaats van het lanceren van aanvallen op een brede groep gebruikers en hopen dat slachtoffers op kwaadaardige links klikken in websites en e-mails, richten ze zich op een kleiner aantal high-profile slachtoffers met een meer geavanceerde aanval. Hierdoor kunnen ze detectielagen zoals netwerk- en e-mailfilters omzeilen, wat de toename van het aantal detecties van kwaadaardige bestanden op endpoints zou kunnen verklaren.
Andere trends die naar voren kwamen uit het onderzoek zijn:
- APT-actoren tonen een verscheidenheid en verfijning van hun aanvallen, vooral met betrekking tot tactieken voor het ontduiken van verdedigingen.
- E-mail-malwaredetectie nam met 349% toe op jaarbasis, terwijl kwaadaardige en phishing URL-detectie afnam met 27% op jaarbasis. Dit benadrukt nogmaals de trend voor het gebruik van kwaadaardige bijlagen in aanvallen.
- Business Email Compromise (BEC)-detecties namen met 16% toe op jaarbasis.
- Ransomware-detecties namen met 14% af op jaarbasis. De toename in FRS-detecties kan echter een indicatie zijn dat dreigingsactoren beter worden in het omzeilen van detectie via technieken zoals Living-Off-The-Land Binaries en Scripts (LOLBINs/LOLBAs), Bring Your Own Vulnerable Driver (BYOVD), zero-day exploits en AV-termination.
- Linux en MacOS ransomware-aanvallen waren goed voor 8% van het totaal aantal ransomware-detecties.
- Er was een toename in remote encryptie, intermittent encryptie, EDR bypass met gebruik van ongemonitorde virtuele machines (VM’s) en multi-ransomware-aanvallen waarbij slachtoffers vaker dan een keer geraakt worden. Aanvallers erkennen EDR als een goede verdediging, maar gebruiken nu bypass-tactieken om deze technologie te omzeilen.
- De meeste slachtoffers van ransomware bevinden zich in Thailand en de VS. De banksector werd het vaakst getroffen.
- De top MITRE ATT&CK-detecties zijn het omzeilen van verdedigingen, command & control, initiële toegang, persistance en impact.
- Risicovolle toegang tot cloud apps was het grootste risico dat gedetecteerd werd door de attacks surface risk management (ASRM)-oplossing van Trend met bijna 83 miljard incidenten.
- Het Zero Day Initiative van Trend ontdekte en vermeldde 1914 zero-days, een toename van 12% op jaarbasis. Dit omvat 111 Adobe Acrobat- en Reader bugs. Adobe was de vendor die het vaakst voorkwam bij het rapporteren van kwetsbaarheden en PDF’s waren het #1 spam-type.
- Windows-applicaties vormden de top 3 van kwetsbaarheden die werden uitgebuit via detecties van onze virtuele patches.
- Mimikatz (gebruikt bij het verzamelen van gegevens) en Cobalt Strike (gebruikt bij Command & Control) bleven de geprefereerde legitieme instrumenten om te misbruiken om criminele activiteiten te ondersteunen.
Op basis van deze resultaten adviseert Trend Micro beveiligingsteams om de volgende acties te ondernemen:
- Werk samen met vertrouwde beveiligingsleveranciers en gebruik een platformbenadering om ervoor te zorgen dat bronnen niet alleen worden beveiligd, maar ook continu worden gecontroleerd op nieuwe kwetsbaarheden.
- Geef prioriteit aan de efficiënte inzet van SOC’s door cloudapplicaties zorgvuldig te monitoren, zeker naarmate deze nauwer worden geïntegreerd in de dagelijkse bedrijfsvoering.
- Zorg ervoor dat alle nieuwe patches/upgrades zijn toegepast op besturingssystemen en applicaties.
- Maak gebruik van uitgebreide beveiligingsprotocollen om de organisatie te beschermen tegen kwetsbaarheden, verscherp de configuratie-instellingen, controleer de toegang tot applicaties en verbeter de account- en apparaatbeveiliging. Probeer ransomware-aanvallen eerder in de aanvalscyclus te detecteren door aanvallers te misleiden tijdens de fasen van initiële toegang, laterale bewegingen en data-exfiltratie.
Bezoek de website voor meer informatie over het Calibrating Expansion: Annual Cybersecurity Threat Report.