Aantal ransomware-gerelateerde kwetsbaarheden stijgt

20-05-2022 | door: Wouter Hoeffnagel
Deel dit artikel:

Aantal ransomware-gerelateerde kwetsbaarheden stijgt

Het aantal kwetsbaarheden die verband houden met ransomware is in het eerste kwartaal van 2022 met 7,6 procent gestegen. De meeste van die kwetsbaarheden zijn uitgebuit door de Conti Ransomware Group. Ook zijn 22 nieuwe kwetsbaarheden ontdekt die verband houden met ransomware (wat het totaal op 310 brengt). 19 van deze nieuwe kwetsbaarheden worden in verband gebracht met Conti, die na de invasie van Oekraïne steun toezegde aan de Russische regering.

Dit meldt Ivanti in het Ransomware Index Report Q1 2022. De leverancier van het Ivanti Neurons automatiseringsplatform deed dit onderzoek samen met Cyber Security Works, een Certifying Numbering Authority (CNA), en Cyware, leverancier van een technologieplatform om Cyber Fusion Centers te bouwen.

APT-groepen houden zich vaker met ransomware bezig

Het rapport toont verder een toename van 7,5 procent aan in APT-groepen (Advanced Persistent Threat) die verband houden met ransomware. Dit is een toename van 6,8 procent in actief uitgebuite en trending kwetsbaarheden, en een toename van 2,5 procent in ransomware-families. Uit verdere analyse blijkt dat drie nieuwe APT-groepen (Exotic Lily, APT 35, DEV-0401) ransomware zijn gaan gebruiken om hun doelen aan te vallen. Verder worden tien nieuwe actieve en trending kwetsbaarheden geassocieerd met ransomware (wat het totaal op 157 brengt), en vier nieuwe ransomware-families (AvosLocker, Karma, BlackCat, Night Sky) zijn actief geworden in het eerste kwartaal van 2022.
 
Bovendien toont het rapport aan dat ransomware-operators sneller dan ooit kwetsbaarheden misbruiken en dat ze daarmee maximale verstoring en impact willen veroorzaken. Dit heeft ertoe geleid dat kwetsbaarheden al binnen acht dagen na het vrijgeven van patches door leveranciers worden uitgebuit. Dit betekent dat elke kleine vertraging in beveiligingsmaatregelen door externe leveranciers en organisaties voldoende is voor ransomware-groepen om kwetsbare netwerken binnen te komen en te infiltreren. Om het nog erger te maken: een aantal populaire malware-scanners detecteert verschillende belangrijke ransomware-kwetsbaarheden niet. Uit het onderzoek blijkt dat meer dan 3,5 procent van de ransomware-kwetsbaarheden wordt gemist, waardoor organisaties worden blootgesteld aan grote risico's.

Scanners detecteren ransomware-kwetsbaarheden vaker

Aaron Sandeen, CEO van Cyber Security Works: “Het feit dat scanners kritieke ransomware-kwetsbaarheden niet detecteren, is een enorm probleem voor organisaties. Onze experts volgen dit continu. Het goede nieuws is dat we in dit kwartaal wel het aantal scanners dat de kwetsbaarheden niet opmerkt zagen dalen. Scannerbedrijven nemen het blijkbaar serieus. Dat gezegd hebbende, zijn er nog steeds elf ransomware-kwetsbaarheden die de scanners niet detecteren, waarvan er vijf als kritiek worden beoordeeld en worden geassocieerd met beruchte ransomware-bendes zoals Ryuk, Petya en Locky.”
 
Srinivas Mukkamala, senior vice president & general manager of security products bij Ivanti, vult aan: “Bedreigingen richten zich steeds meer op tekortkomingen in cyberhygiëne, inclusief legacy-processen voor kwetsbaarheidsbeheer. Tegenwoordig hebben veel beveiligings- en IT-teams moeite om de echte risico's die kwetsbaarheden met zich meebrengen te identificeren. Daarom geven ze de verkeerde prioriteit aan het verhelpen van kwetsbaarheden. Velen patchen bijvoorbeeld alleen nieuwe kwetsbaarheden of alleen als ze in de National Vulnerabilty Database bekend zijn gemaakt. Anderen gebruiken alleen het Common Vulnerability Scoring System (CVSS) om kwetsbaarheden te classificeren en prioriteit te geven. Om organisaties beter te beschermen tegen cyberaanvallen, moeten beveiligings- en IT-teams een op risico's gebaseerde benadering van kwetsbaarheidsbeheer hanteren. Dit vereist technologie die op AI is gebaseerd en in staat is bedrijfsrisico's en actieve bedreigingen te identificeren, vroegtijdige waarschuwingen kan geven, aanvallen kan voorspellen en prioriteit kan geven aan herstelactiviteiten.”

624 unieke kwetsbaarheden ontdekt

Het rapport ontdekte ook 624 unieke kwetsbaarheden in de producten van 56 leveranciers die zorgapplicaties, medische apparaten en hardware leveren die worden gebruikt in ziekenhuizen en zorgcentra. Veertig daarvan hebben openbare exploits. Twee kwetsbaarheden (CVE-2020-0601 en CVE-2021-34527) worden geassocieerd met vier ransomware-operators (BigBossHorse, Cerber, Conti en Vice Society). Dit kan erop wijzen dat de gezondheidszorg de komende maanden mogelijk te maken krijgt met agressievere ransomware-aanvallen.
 
Anuj Goel, mede-oprichter en CEO van Cyware: “Ransomware is momenteel een van de belangrijkste aanvalsvectoren die de bedrijfsresultaten wereldwijd beïnvloeden. Het Q1-rapport laat met nieuwe cijfers een toename zien van het aantal ransomware-kwetsbaarheden en de APT's die ransomware gebruiken. Een van de grootste zorgen is echter het gebrek aan volledige zichtbaarheid van bedreigingen voor beveiligingsteams als gevolg van onoverzichtelijke informatie uit verschillende bronnen. Als beveiligingsteams ransomware-aanvallen proactief willen afweren, moeten ze hun patch- en kwetsbaarheden-respons koppelen aan een gecentraliseerde workflow voor het beheer van bedreigingsinformatie, gebaseerd op multi-source intelligence, correlatie en beveiligingsacties. Die zou ze volledig inzicht geven in ransomware-aanvalsvectoren, die steeds van gedaante veranderen.”
 
Het Ransomware Index Spotlight-rapport is gebaseerd op gegevens die zijn verzameld uit verschillende bronnen, waaronder bedrijfseigen gegevens van Ivanti en CSW, openbaar beschikbare bedreigingsdatabases en bedreigingsonderzoekers en penetratietestteams. Het volledig rapport is hier beschikbaar.

Invanti-Q1_2022-Infographic.jpg

Terug naar nieuws overzicht
Security