Trend Micro blokkeerde 160 miljard incidenten in 2023

Uit nieuw onderzoek van Trend Micro blijkt dat het totaal aantal geblok­keerde drei­gingen in 2023 is toege­nomen met 10%. Het cyber­be­vei­li­gings­be­drijf waar­schuwt dat aanval­lers daarbij steeds geavan­ceer­dere methoden gebruiken om slacht­of­fers gerichter te benaderen, waardoor er een hoger poten­tieel is voor finan­cieel gewin.

“We blokkeren meer drei­gingen dan ooit tevoren”, zegt Jon Clay, VP of Threat Intel­li­gence bij Trend Micro. “Aanval­lers gebruiken verschil­lende soorten TTP’s (tactics, tech­ni­ques, proce­dures) in hun aanvallen die verschil­lende niveaus laten zien, met name bij het ontwijken van de verde­di­ging van orga­ni­sa­ties. Ons onderzoek laat zien dat verde­di­gers risico’s proactief moeten beheren over het gehele aanvals­op­per­vlak. Het begrijpen van de stra­te­gieën die door aanval­lers gebruikt worden is de basis van een effec­tieve verdediging.”

Trend Micro blok­keerde 160 miljard drei­gingen in 2023. Ter verge­lij­king: vijf jaar geleden was dat nog ‘maar’ 92 miljard. Drei­gingen op basis van e‑mail en webre­pu­tatie namen met respec­tie­ve­lijk 47% en 2% af. Drei­gingen die geblok­keerd werden door de Mobile Appli­ca­tion Reputa­tion Service van Trend (-2%), Smart Home Network (-12%) en Internet of Things Reputa­tion Service (-64%) namen ook af. Er was echter een toename zichtbaar in drei­gingen die geblok­keerd werden door de File Reputa­tion Service (FRS) van Trend. Dit kan een indicatie zijn dat drei­gings­ac­toren hun doel­witten zorg­vul­diger kiezen. In plaats van het lanceren van aanvallen op een brede groep gebrui­kers en hopen dat slacht­of­fers op kwaad­aar­dige links klikken in websites en e‑mails, richten ze zich op een kleiner aantal high-profile slacht­of­fers met een meer geavan­ceerde aanval. Hierdoor kunnen ze detec­tie­lagen zoals netwerk- en e‑mailfilters omzeilen, wat de toename van het aantal detecties van kwaad­aar­dige bestanden op endpoints zou kunnen verklaren.

Andere trends die naar voren kwamen uit het onderzoek zijn:

• APT-actoren tonen een verschei­den­heid en verfij­ning van hun aanvallen, vooral met betrek­king tot tactieken voor het ontduiken van verdedigingen.
• E‑mail-malwa­re­de­tectie nam met 349% toe op jaarbasis, terwijl kwaad­aar­dige en phishing URL-detectie afnam met 27% op jaarbasis. Dit benadrukt nogmaals de trend voor het gebruik van kwaad­aar­dige bijlagen in aanvallen.
• Business Email Compro­mise (BEC)-detecties namen met 16% toe op jaarbasis.
• Ransom­ware-detecties namen met 14% af op jaarbasis. De toename in FRS-detecties kan echter een indicatie zijn dat drei­gings­ac­toren beter worden in het omzeilen van detectie via tech­nieken zoals Living-Off-The-Land Binaries en Scripts (LOLBINs/​LOLBAs), Bring Your Own Vulne­rable Driver (BYOVD), zero-day exploits en AV-termination.
• Linux en MacOS ransom­ware-aanvallen waren goed voor 8% van het totaal aantal ransomware-detecties.
• Er was een toename in remote encryptie, inter­mit­tent encryptie, EDR bypass met gebruik van onge­mo­ni­t­orde virtuele machines (VM’s) en multi-ransom­ware-aanvallen waarbij slacht­of­fers vaker dan een keer geraakt worden. Aanval­lers erkennen EDR als een goede verde­di­ging, maar gebruiken nu bypass-tactieken om deze tech­no­logie te omzeilen.
• De meeste slacht­of­fers van ransom­ware bevinden zich in Thailand en de VS. De bank­sector werd het vaakst getroffen.
• De top MITRE ATT&CK-detecties zijn het omzeilen van verde­di­gingen, command & control, initiële toegang, persis­tance en impact.
• Risi­co­volle toegang tot cloud apps was het grootste risico dat gede­tec­teerd werd door de attacks surface risk mana­ge­ment (ASRM)-oplossing van Trend met bijna 83 miljard incidenten.
• Het Zero Day Initi­a­tive van Trend ontdekte en vermeldde 1914 zero-days, een toename van 12% op jaarbasis. Dit omvat 111 Adobe Acrobat- en Reader bugs. Adobe was de vendor die het vaakst voorkwam bij het rappor­teren van kwets­baar­heden en PDF’s waren het #1 spam-type.
• Windows-appli­ca­ties vormden de top 3 van kwets­baar­heden die werden uitgebuit via detecties van onze virtuele patches.
• Mimikatz (gebruikt bij het verza­melen van gegevens) en Cobalt Strike (gebruikt bij Command & Control) bleven de gepre­fe­reerde legitieme instru­menten om te misbruiken om criminele acti­vi­teiten te ondersteunen.

Op basis van deze resul­taten adviseert Trend Micro bevei­li­gings­teams om de volgende acties te ondernemen:

• Werk samen met vertrouwde bevei­li­gings­le­ve­ran­ciers en gebruik een plat­form­be­na­de­ring om ervoor te zorgen dat bronnen niet alleen worden beveiligd, maar ook continu worden gecon­tro­leerd op nieuwe kwetsbaarheden.
• Geef prio­ri­teit aan de effi­ci­ënte inzet van SOC’s door cloud­ap­pli­ca­ties zorg­vuldig te monitoren, zeker naarmate deze nauwer worden geïn­te­greerd in de dage­lijkse bedrijfsvoering.
• Zorg ervoor dat alle nieuwe patches/​upgrades zijn toegepast op bestu­rings­sys­temen en applicaties.
• Maak gebruik van uitge­breide bevei­li­gings­pro­to­collen om de orga­ni­satie te beschermen tegen kwets­baar­heden, verscherp de confi­gu­ratie-instel­lingen, contro­leer de toegang tot appli­ca­ties en verbeter de account- en appa­raat­be­vei­li­ging. Probeer ransom­ware-aanvallen eerder in de aanvals­cy­clus te detec­teren door aanval­lers te misleiden tijdens de fasen van initiële toegang, laterale bewe­gingen en data-exfiltratie.

Bezoek de website voor meer infor­matie over het Cali­bra­ting Expansion: Annual Cyber­se­cu­rity Threat Report.