Zes op de tien securityteams ziet meer aanvallen sinds invasie van Oekraïne

65% van de securityteams ziet een groter aantal cyberaanvallen sinds de Russische invasie in Oekraïne is begonnen. Ook krijgen zij steeds vaker te maken met aanvallen waarbij cybercriminelen deep fakes inzetten.

Dit blijkt uit het Global Incident Response Threat Report van VMware, dat het bedrijf voor het achtste jaar op rij heeft uitgebracht op Black Hat USA 2022. Het rapport biedt inzicht in de uitdagingen waar securityteams mee te maken hebben in tijden van pandemieën, burn-outs en geopolitiek gemotiveerde cyberaanvallen. Volgens het rapport merkt. Ook belicht het opkomende bedreigingen zoals deepfakes, aanvallen op API’s en cybercriminelen die hun aandacht richten op de professionals die op cyberincidenten reageren.

Deepfakes

“Om securitycontroles te omzeilen nemen cybercriminelen deepfakes op in hun aanvalsmethoden”, zegt Rick McElroy, hoofdstrateeg van cybersecurity bij VMware. “Twee op de drie respondenten steldt vast dat kwaadaardige deepfakes in een aanval gebruikt worden, dit is een toename van 13% in vergelijking met vorig jaar. E-mail blijkt de populairste methode om deze boodschappen te verspreiden. Cybercriminelen hebben zich meer ontwikkeld en gebruiken synthetische video en audio niet meer alleen voor beïnvloedingsoperaties of desinformatiecampagnes. Hun nieuwe doel is om deepfake-technologie te gebruiken om organisaties te compromitteren en toegang te krijgen tot hun omgeving.”

Cybersecurity burn-out blijft een kritiek probleem. Zo’n 47% van de professionals die incidenten bestrijden, stelt dat ze in de afgelopen twaalf maanden te maken hebben gekregen met een burn-out of extreme stress. Dit is een kleine daling ten opzichte van vorig jaar (51%). Van deze groep heeft 69% overwogen om van baan te veranderen (65% in 2021). Veel organisaties doen er van alles aan om dit te vermijden: meer dan twee derde van de respondenten geeft aan dat hun werkgever een welzijnsprogramma heeft gelanceerd om burn-outs tegen te gaan.

Aantal ransomware-aanvallen blijft groot

Ransomware-aanvallers zetten in op strategieën voor cyberafpersing. Het aantal ransomware-aanvallen is nog niet afgenomen. De aanvallen worden vaak gestimuleerd door samenwerkingsverbanden tussen criminele groepen op het dark web. In de afgelopen twaalf maanden is 57% van de respondenten met een dergelijke aanval geconfronteerd, terwijl twee derde (66%) in aanraking is gekomen met partnerprogramma’s en/of partnerschappen tussen ransomware-groeperingen. Prominente cyberkartels blijven organisaties afpersen door middel van dubbele afpersingstechnieken, gegevensveilingen en chantage.

API’s zijn de nieuwe endpoints en de volgende stap voor aanvallers. Naarmate het aantal workloads en applicaties toeneemt, brengt 23% van de aanvallen de beveiliging van API’s in gevaar. De belangrijkste API-aanvallen zijn het blootstellen van gegevens (het afgelopen jaar ervaren door 42% van de respondenten), SQL- en API injection-aanvallen (respectievelijk 37% en 34%) en gedistribueerde Denial of Service-aanvallen (33%).

Laterale bewegingen

Laterale beweging is het nieuwe strijdtoneel. Laterale beweging werd bij 25% van de aanvallen waargenomen. Cybercriminelen gebruikten alles van script hosts (49%) en bestandsopslag (46%) tot PowerShell (45%), platformen voor bedrijfscommunicatie (41%) en .NET (39%). Uit een analyse van de telemetrie binnen VMware Contexa, een full-fidelity threat intelligence cloud die in de producten van VMware is ingebouwd, blijkt dat alleen al in april en mei 2022 in bijna de helft van de inbraken sprake was van laterale beweging.

“Om zich te beschermen tegen het groeiende aanvalsoppervlak hebben cybersecurityteams een adequaat niveau van zichtbaarheid over workloads, apparaten, gebruikers en netwerken nodig. Zo kunnen ze cyberdreigingen opsporen, zich tegen aanvallen beschermen en erop reageren”, zegt Chad Skipper, global security technologist bij VMware. “Wanneer beveiligingsteams beslissingen nemen op basis van onvolledige en onnauwkeurige data, belemmert dat hun vermogen om een granulaire securitystrategie te implementeren. Bovendien hindert de beperkte context van systemen ook hun inspanningen om laterale beweging en aanvallen te detecteren en tegen te houden.”

Nieuwe technieken ondersteunen securityteams

Ondanks het turbulente bedreigingslandschap en de toenemende bedreigingen die in het rapport beschreven staan, vechten de professionals die zich op cyberincidenten richten terug. Zo zegt 87% dat ze soms (50%) of heel vaak (37%) in staat zijn om de handelingen van een cybercrimineel te verstoren. Hiervoor doen ze ook een beroep op nieuwe technieken. Driekwart van de respondenten geeft aan virtuele patching als noodmechanisme in te zetten. Overal geldt: hoe meer zicht verdedigers hebben op het steeds groter wordende aanvalsoppervlak, des te beter ze zijn uitgerust om deze te beschermen.

Het onderzoeksrapport met meer informatie over de evolutie van het bedreigingslandschap, bruikbare richtlijnen en aanbevelingen voor incidentresponsteams is hier beschikbaar.