Sophos Threat Report belicht ransomware en andere cybersecurity trends

19-11-2020 | door: Redactie

Sophos Threat Report belicht ransomware en andere cybersecurity trends

Sophos publiceert het Sophos 2021 Threat Report. Hierin wordt aangegeven hoe ransomware en snel veranderend gedrag van aanvallers het dreigingslandschap en IT-beveiliging in 2021 zullen bepalen. Het rapport biedt een driedimensionaal perspectief op beveiligingsdreigingen en -trends, vanaf het begin tot de daadwerkelijke impact.

De drie belangrijke trends in in het rapport:

1. Kloof tussen ransomware-operators aan beide ‘uiteinden’ zal groter worden
Aan de ‘hoge kant’ zullen de ransomwarefamilies die op groot wild jagen hun tactieken, technieken en procedures (TTP's) blijven verfijnen en veranderen om zich meer ontwijkend op grotere organisaties met losgeld van meerdere miljoenen dollars te richten. Aan de andere kant van het spectrum verwacht Sophos een toename van het aantal aanvallers op ‘instapniveau’ die op zoek zijn naar menugestuurde ransomware-for-rent waarmee ze zich op grote hoeveelheden kleinere prooien kunnen richten.

Een andere ransomwaretrend is "secundaire afpersing", waarbij de aanvallers (naast de gegevensversleuteling) dreigen vertrouwelijke informatie te publiceren wanneer er niet aan hun eisen wordt voldaan. “Het bedrijfsmodel van ransomware is dynamisch en complex. In 2020 zag Sophos een duidelijke trend dat tegenstanders zich differentiëren in termen van vaardigheden en doelen. We hebben echter ook gezien dat ransomwarefamilies de beste tools van hun soort deelden en zelfbenoemde samenwerkingskartels vormden”, zegt Chester Wisniewski, hoofdonderzoeker bij Sophos. “Sommigen leken hun koffers te pakken en verdwenen, behalve dat enkele van hun tools en technieken weer opdoken onder het mom van een nieuwkomer, Egregor. Als de ene dreiging verdwijnt, komt er snel een andere in de plaats. In veel opzichten is het bijna onmogelijk om te voorspellen waar ransomware naartoe zal gaan, maar de aanvalstrends die dit jaar in ons dreigingsrapport worden besproken, zullen waarschijnlijk doorzetten in 2021."

2. Alledaagse dreigingen (waaronder commodity-malware) vereisen serieuze aandacht
Dergelijke dreigingen kunnen lijken op malware op een laag niveau, maar ze zijn ontworpen om voet aan de grond te krijgen binnen een doelwit, daar essentiële gegevens te verzamelen en gegevens terug te delen met een command-and-control-netwerk voor verdere instructies. Als menselijke operators achter dit soort dreigingen zitten, zullen ze elke gecompromitteerde machine controleren op zijn geolocatie en andere waardevolle tekens, en vervolgens toegang tot de meest lucratieve doelen verkopen aan de hoogste bieder.

“Uit Sophos’s analyse is het duidelijk dat verdedigers commodity-malware serieus moeten nemen. Elke infectie kan tot een andere leiden. Veel beveiligingsteams zullen het gevoel hebben dat zodra malware is geblokkeerd of verwijderd en de besmette machine is schoongemaakt, het incident is voorkomen”, aldus Wisniewski. "Ze realiseren zich misschien niet dat de aanval waarschijnlijk op meer dan één machine was gericht en dat schijnbaar veel voorkomende malware zoals Emotet en Buer Loader kan leiden tot Ryuk, Netwalker en andere geavanceerde aanvallen, die IT misschien pas opmerkt als de ransomware wordt geïmplementeerd. Het onderschatten van ‘kleine’ infecties kan erg duur uitvallen."

3. Alle rangen zullen in toenemende mate misbruik maken van legitieme tools
Door misbruik van legitieme tools kunnen tegenstanders onder de radar blijven terwijl ze zich door het netwerk verplaatsen totdat ze klaar zijn om het grootste deel van de aanval te starten. Voor aanvallers die door een natiestaat worden gesponsord, is er het extra voordeel dat het gebruik van gemeenschappelijke tools toeschrijving moeilijker maakt.

Nogmaals Wisniewski: "Het misbruik van alledaagse tools en technieken om een actieve aanval te verhullen, kwam prominent naar voren in Sophos' evaluatie in 2020. Deze techniek stelt traditionele beveiligingsbenaderingen op de proef, omdat het verschijnen van bekende tools niet automatisch een waarschuwing geeft. Dit is waar het snelgroeiende gebied van door mensen geleide dreigingsjacht en beheerde dreigingsrespons echt tot zijn recht komt. Menselijke experts kennen de subtiele sporen waarnaar ze moeten zoeken, zoals een legitiem hulpmiddel dat op het verkeerde moment of op de verkeerde plaats wordt gebruikt. Voor getrainde dreigingsjagers of IT-managers die gebruik maken van Endpoint Detection and Response (EDR)-functies, zijn deze signalen handvatten die beveiligingsteams kunnen waarschuwen voor een potentiële indringer en een aanval die gaande is."

Andere trends uit het Sophos 2021 Threat Report:
- Aanvallen op servers: aanvallers hebben zich gericht op serverplatforms met zowel Windows als Linux, en hebben deze platforms gebruikt om organisaties van binnenuit aan te vallen
- De impact van de COVID 19-pandemie op de IT-beveiliging, zoals de beveiligingsuitdagingen van thuiswerken met behulp van persoonlijke netwerken die worden beschermd door zeer uiteenlopende beveiligingsniveau
- De beveiligingsuitdagingen waarmee cloudomgevingen worden geconfronteerd: cloud computing heeft met succes het grootste deel van de zakelijke behoeften aan veilige computeromgevingen op zich genomen, maar staat voor andere uitdagingen dan die van een traditioneel bedrijfsnetwerk
- Gemeenschappelijke services zoals RDP- en VPN-concentrators, die een aandachtspunt blijven voor aanvallen op de netwerkperimeter. Aanvallers gebruiken RDP ook om lateraal binnen doorbroken netwerken te bewegen
- Softwaretoepassingen die traditioneel werden gemarkeerd als 'mogelijk ongewenst' omdat ze een overvloed aan advertenties leverden, maar zich bezighielden met tactieken die in toenemende mate niet te onderscheiden zijn van openlijke malware
- De verrassende terugkeer van een oude bug, VelvetSweatshop - een standaard wachtwoordfunctie voor eerdere versies van Microsoft Excel - gebruikt om macro's of andere kwaadaardige inhoud in documenten te verbergen en geavanceerde detectie van dreigingen te omzeilen
- De noodzaak om benaderingen uit de epidemiologie toe te passen om ongeziene, niet-gedetecteerde en onbekende cyberdreigingen te kwantificeren om hiaten in detectie beter te overbruggen, risico's te beoordelen en prioriteiten te stellen

Het volledige Sophos 2021 Threat Report is beschikbaar op www.sophos.com/threatreport.

Terug naar nieuws overzicht
Security