Sophos publiceerde onlangs het ‘Active Adversary Playbook 2022’. Dat het gedrag beschrijft van aanvallers zoals het Rapid Response-team van Sophos het in 2021 in de praktijk heeft vastgesteld. De bevindingen tonen een toename van 36% voor wat betreft ‘Dwell Time’, de tijd die aanvallers in een netwerk van een organisatie doorbrengen voor ze worden opgemerkt. Waar de mediane dwell time van indringers in 2020 nog 11 dagen bedroeg, was dit in 2021 gestegen naar 15 dagen.
Het rapport toont daarnaast ook de impact van ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.
“De wereld van de cybercriminaliteit is ongelooflijk divers en gespecialiseerd geworden. IAB’s hebben een kleinschalige cybercrime-industrie ontwikkeld waarbij ze inbreken in een doelwit, de omgeving gaan verkennen of een achterpoortje installeren, en vervolgens gebruiksklare toegang verkopen aan ransomware-groepen die zelf een aanval willen lanceren”, zegt John Shier, senior security advisor bij Sophos. “In dit steeds dynamischer en gespecialiseerder cyberdreigingslandschap kunnen organisaties het moeilijk hebben om de wisselende tools en benaderingen van aanvallers te blijven volgen. Om aanvallen zo snel mogelijk te detecteren en neutraliseren, is het van vitaal belang dat verdedigers in elke fase van de aanvalsketen begrijpen waar ze op moeten letten.”
Het onderzoek van Sophos onthult ook een langere dwell time bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met 3.000 tot 5.000 werknemers zo’n twintig dagen doorbrachten.
“Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te geraken, te pakken wat ze willen en weer te vertrekken. Kleinere organisatie zijn minder ‘waardevol’, zodat aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen. Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het bijgevolg langer om aanvallers op te merken en uit te schakelen”, aldus Shier. “Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB’s zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn.”
Andere bevindingen uit het draaiboek:
- De mediane duurtijd voordat een hacker werd ontdekt, was langer voor “stealth”-inbraken die zich niet tot een grote aanval zoals ransomware hadden ontvouwd. Hetzelfde geldt voor kleinere organisaties en sectoren met minder IT-beveiligingsmiddelen. Voor organisaties die getroffen werden door ransomware, bedroeg de mediane dwell time 11 dagen. Voor bedrijven die getroffen waren door een inbraak, maar nog niet door een grote aanval zoals ransomware (23% van alle onderzochte incidenten), lag de mediane dwell time op 34 dagen. Organisaties in het onderwijs of met minder dan 500 werknemers lieten hogere tijdswaarden optekenen.
- Een langere dwell time en openstaande toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Forensisch bewijsmateriaal toont situaties waarin meerdere aanvallers – waaronder IAB’s, ransomware-groepen, cryptominers en soms zelfs meerdere ransomware-aanvallers – het tegelijkertijd op dezelfde organisatie hadden gemunt.
- Ondanks een daling in het gebruik van Remote Desktop Protocol (RDP) voor externe toegang, hebben aanvallers de tool vaker gebruikt voor interne laterale bewegingen. Waar hackers in 2020 in 32% van de geanalyseerde gevallen een beroep deden op RDP voor externe activiteit, daalde dit cijfer in 2021 naar 13%. Hoewel dit een welgekomen evolutie is die erop wijst dat organisaties hun externe aanvalsoppervlakken beter beheren, misbruiken aanvallers RDP nog steeds voor interne laterale bewegingen. Sophos ontdekte dat aanvallers RDP hiervoor in 2021 in 82% van de gevallen gebruikten, een stijging ten opzichte van 2020 (69%).
- Veelvoorkomende combinaties van tools die voor aanvallen worden gebruikt, bieden een krachtig waarschuwingssignaal voor de activiteit van indringers. Uit onderzoeken naar incidenten bleek bijvoorbeeld dat PowerShell en schadelijke niet-PowerShell-scripts in 2021 in 64% van de gevallen samen werden aangetroffen. In 56% van de gevallen ging het om een combinatie van PowerShell en Cobalt Strike, terwijl PowerShell en PsExec in 51% van de cases samen zijn waargenomen. De detectie van dergelijke correlaties kan een vroegtijdige waarschuwing voor een dreigende aanval zijn of op een actieve aanval wijzen.
- Bij vijftig procent van de ransomware-incidenten was er sprake van bevestigde exfiltratie van data. Het gemiddeld interval tussen de diefstal van gegevens en de inzet van ransomware bedroeg 4,28 dagen. Ransomware was betrokken bij 73% van de incidenten waarop Sophos in 2021 heeft gereageerd. De helft van deze ransomware-incidenten ging gepaard met data-exfiltratie. Vaak is data-exfiltratie de laatste fase van een aanval vooraleer ransomware wordt losgelaten. Uit onderzoek naar incidenten bleek dat er gemiddeld 4,28 dagen tussen zaten. De mediaan bedroeg 1,84 dagen.
- Conti was de meest voorkomende ransomware-groep in 2021, goed voor 18% van alle incidenten. REvil-ransomware kwam voor bij één op tien incidenten. Andere dominante ransomware-families omvatten DarkSide, de RaaS die verantwoordelijk is voor de beruchte aanval op Colonial Pipeline in de VS, en Black KingDom, een van de “nieuwe” ransomware-families die in maart 2021 verscheen in het kielzog van de ProxyLogon-kwetsbaarheid. In de 144 incidenten uit de analyse zijn 41 verschillende ransomware-aanvallers geïdentificeerd. Ongeveer 28 hiervan waren nieuwe groepen die in 2021 voor het eerst gemeld zijn. Daarnaast zijn 18 ransomware-groepen betrokken bij incidenten uit 2020 van de lijst verdwenen.
“Alarmsignalen waar verdedigers op moeten letten zijn onder andere de detectie van een legitieme tool of combinatie van tools, of activiteit op een onverwachte plaats of een ongebruikelijk tijdstip”, zegt Shier. “Er kunnen ook momenten met weinig of geen activiteit optreden, maar dat betekent niet dat er geen sprake is van een aanval op een organisatie. Zo zijn er waarschijnlijk nog veel meer ProxyLogon- of ProxyShell-inbreuken die op dit moment onbekend zijn. Daarbij kunnen webshells en backdoors voor persistente toegang in doelwitten geïmplementeerd zijn en in stilte wachten tot die toegang gebruikt of verkocht wordt. Verdedigers moeten waakzaam zijn voor verdachte signalen en onmiddellijk een onderzoek instellen. Ze moeten kritieke bugs patchen, voornamelijk in veelgebruikte software, en de beveiliging van remote access-diensten aanscherpen. Totdat deze toegangspunten zijn afgesloten en alle sporen van aanvallers volledig zijn uitgeroeid, kan iedereen zomaar binnenkomen. En waarschijnlijk zullen ze dat ook daadwerkelijk doen.”
Het Sophos Active Adversary Playbook 2022 is gebaseerd op 144 incidenten uit 2021. Deze incidenten troffen organisaties van alle formaten en uiteenlopende industrieën. Ze bevinden zich in de VS, Canada, het VK, Duitsland, Italië, Spanje, Frankrijk, Zwitserland, België, Nederland, Oostenrijk, de Verenigde Arabische Emiraten, Saoedi-Arabië, de Filipijnen, de Bahama’s, Angola en Japan. De meest vertegenwoordigde sectoren zijn manufacturing (17%), retail (14%), gezondheidszorg (13%), IT (9%), de bouwsector (8%) en het onderwijs (6%).
Het rapport van Sophos heeft als doel securityteams te helpen begrijpen wat tegenstanders tijdens een aanval doen en hoe ze kwaadaardige activiteiten op het netwerk kunnen spotten en zich ertegen kunnen beschermen. Lees het Sophos Active Adversary Playbook 2022 op Sophos News om meer te ontdekken over de gedragingen, tools en technieken van aanvallers.