Fortinet maakt vandaag de beschikbaarheid bekend van het ‘2H 2023 Global Threat Landscape Report’. Deze nieuwe editie van het halfjaarlijkse rapport van FortiGuard Labs toont een momentopname van het bedreigingslandschap en licht trends uit voor de periode van juli tot en met december 2023.
Het rapport biedt daarnaast een analyse van de snelheid waarmee cybercriminelen misbruik maken van recent bekendgemaakte kwetsbaarheden, de opkomst van gerichte ransomware-aanvallen en de inzet van wiper-malware als wapen tegen industriële bedrijven en andere organisaties die met operationele technologie werken.
Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs, zegt: “Het Global Threat Landscape Report van FortiGuard Labs voor de tweede helft van 2023 werpt licht op de enorme snelheid waarmee cybercriminelen misbruik maken van recent bekendgemaakte kwetsbaarheden. Daarmee staan zowel softwareleveranciers als hun klanten voor een belangrijke taak. Leveranciers moeten hun applicaties gedurende alle stadia van de ontwikkelingscyclus grondig scannen op de aanwezigheid van beveiligingslekken. Ze moeten daarnaast radicaal openheid van zaken geven bij het publiceren van kwetsbaarheden in hun software. Het National Institute of Standards and Technology (NIST) maakte in 2023 melding van meer dan 26.447 kwetsbaarheden in oplossingen van ruim 2.000 softwareleveranciers. Met het oog op deze aantallen is het van cruciaal belang dat organisaties een strikte procedure voor het installeren van patches hanteren om de kans op misbruik van beveiligingslekken te verkleinen.”
Een greep uit de belangrijkste bevindingen voor het tweede halfjaar:
- Cyberaanvallen gingen gemiddeld 4,76 dagen na de bekendmaking van nieuwe kwetsbaarheden van start: Net als voor het 1H 2023 Global Threat Landscape Report wilde FortiGuard Labs zien hoeveel tijd er zich afspeelt tussen de publicatie van een kwetsbaarheid en misbruik daarvan door cybercriminelen. Het wilde daarnaast weten of kwetsbaarheden waaraan het Exploit Prediction Scoring System (EPSS) een hogere score toekent sneller worden misbruikt en of de gemiddelde tijd tussen bekendmaking en misbruik kon worden voorspeld aan de hand van EPSS-data. Uit deze analyse bleek dat cybercriminelen in de tweede helft van vorig jaar 43% sneller misbruik maakten van recent gepubliceerde kwetsbaarheden dan in het eerste halfjaar. Daarmee blijkt hoe belangrijk het is dat softwareleveranciers zich toeleggen op de interne detectie van beveiligingslekken en patches ontwikkelen voordat er misbruik van kan worden gemaakt (minimalisatie van zero-day kwetsbaarheden). Het benadrukt ook dat leveranciers hun klanten op proactieve en transparante wijze op de hoogte moeten stellen van kwetsbaarheden, zodat die hun applicaties effectief kunnen beschermen tegen misbruik door cybercriminelen.
- Sommige beveiligingslekken blijven meer dan 15 jaar ongepatcht: CISO’s en security-teams moeten zich niet alleen zorgen maken om recent bekendgemaakte kwetsbaarheden. Uit telemetriedata van Fortinet bleek dat 41% van alle organisaties pogingen tot misbruik van kwetsbaarheden detecteerden op basis van malware-signatures die nog geen maand oud waren. Bijna elke organisatie (98%) detecteerde kwetsbaarheden die al minstens vijf jaar bekend waren. FortiGuard Labs blijft echter ook op gevallen stuiten waarin cybercriminelen misbruik maken van kwetsbaarheden die ruim 15 jaar geleden openbaar werden gemaakt. Dit benadrukt de noodzaak om waakzaam te blijven en de cyberhygiëne op te voeren. Organisaties moeten snel schakelen op basis van een consistent patching- en updateprogramma, best practices toepassen en de adviezen van organisaties als Network Resilience Coalition opvolgen om de netwerkbeveiliging te verbeteren.
- Nog geen 9% van alle bekende kwetsbaarheden op endpoints werd doelwit van cyberaanvallen: In 2022 introduceerde FortiGuard Labs het concept van de red zone. Dit biedt lezers meer inzicht in de waarschijnlijkheid dat cybercriminelen misbruik maken van specifieke kwetsbaarheden. Ter illustratie: de laatste drie Global Threat Landscape Reports gaven aan hoeveel kwetsbaarheden op endpoints met aanvallen werden bestookt. Volgens het huidige rapport vormde in de tweede helft van 2023 slechts 0,7% van alle bekende kwetsbaarheden op endpoints een doelwit. Dat betekent dat er sprake is van een veel kleiner actief aanvalsoppervlak waarop security-teams hun focus moeten richten.
- 44% van alle ransomware en wiper-malware was gericht op de industriële sector: Het aantal detecties van ransomware door het wereldwijde sensornetwerk van Fortinet daalde in het tweede halfjaar van 2023 met 70% ten opzichte van de eerste helft van 2023. Deze terugval lijkt er sterk op te wijzen dat cybercriminelen niet langer met hagel schieten, maar kiezen voor een meer gerichte aanpak. De focus ligt daarbij op de energiesector, gezondheidszorg, maakindustrie, logistieke en transportsector en auto-industrie.
- Botnets vertoonden een ongekende veerkracht; er verstreken gemiddeld 85 dagen tussen de eerste detectie en de stillegging van de communicatie met command & control (C2)-servers: Hoewel het botverkeer in het tweede halfjaar van 2023 op een min of meer gelijk peil bleef als in het eerste halfjaar, bleef FortiGuard Labs activiteit bespeuren van de prominentste botnets van de afgelopen jaren, waaronder Gh0st, Mirai en ZeroAccess. In de tweede helft van 2023 doken er drie nieuwe botnets op: AndroxGh0st, Prometei en DarkGate.
- 38 van alle door MITRE gevolgde advanced persistent threat (APT)-groepen bleken in de tweede helft van 2023 actief te zijn: Uit informatie van FortiRecon, een dienst van Fortinet die organisaties tegen digitale risico’s beschermt, blijkt dat 38 van de 138 groepen cybercriminelen die MITRE volgt in actief waren in de tweede helft van 2023. Tot de meest actieve behoorden de Lazarus Group, Kimusky, APT28, APT29, Andariel en OilRig. De aanvalscampagnes van ATP-groepen en staatshackers zijn sterker gericht en relatief korter van aard dan die van andere typen cybercriminelen. FortiGuard Labs zal de ontwikkelingen en het activiteitsvolume voor deze groepen dan ook nauwlettend blijven volgen.
Discussies op het dark web
Het ‘2H 2023 Global Threat Landscape Report’ biedt op basis van informatie van FortiRecon een inkijkje in de gesprekken die cybercriminelen voeren via forums en marktplaatsen op het dark web, Telegram-kanalen en andere bronnen. Hieruit bleek onder meer het volgende:
- Cybercriminelen spraken het vaakst over aanvallen op organisaties in de financiële sector. Zakelijke dienstverleners en onderwijsinstellingen kwamen op de tweede en derde plaats.
- Op prominente forums op het dark web werden gegevens van meer dan 3.000 datalekken gedeeld.
- Op het dark web werden 221 kwetsbaarheden actief besproken. Op Telegram-kanalen vonden discussies over 237 beveiligingslekken plaats.
- Cybercriminelen boden creditcardgegevens van meer dan 850.000 personen ter verkoop aan.
Het tij van cybercriminaliteit keren
Het almaar groeiende aanvalsoppervlak en branchebrede tekort aan vaardige beveiligingsprofessionals maakt het moeilijker dan ooit voor bedrijven om grip te houden op hun ingewikkelde lappendeken van ongelijksoortige security-oplossingen. En het is voor hen al helemaal een lastige opgave om het enorme aantal beveiligingsmeldingen van losstaande producten bij te houden en op de hoogte te blijven van de laatste aanvalstechnieken van cybercriminelen.
Het keren van het tij van cybercriminaliteit vraagt om samenwerking, transparantie en rekenschap op een grotere schaal. Elke organisatie die actief is in de wereld van cybersecurity kan een schakel in de keten vormen in de strijd tegen cybercriminaliteit. Samenwerking met prominente en alom gerespecteerde organisaties uit de publieke en private sector, waaronder CERT’s, overheidsinstellingen en universiteiten, vormt een belangrijk onderdeel van de inspanningen van Fortinet om de wereldwijde cyberveerkracht te verbeteren.
Onophoudelijke technologische innovatie en samenwerking binnen sectoren en werkgroepen zoals de Cyber Threat Alliance, Network Resilience Coalition, Interpol, de Partnership Against Cybercrime en het World Economic Forum (WEF) met zijn Cybercrime Atlas maakt het mogelijk om als collectief de beveiliging op te voeren en een bijdrage te leveren aan de wereldwijde strijd tegen cybercriminaliteit.
