Malware-as-a-Service goed voor meer dan de helft van de cyberdreigingen

Dit meldt het Threat Research-team van Darktrace, dat met behulp van kunstmatige intelligentie (AI) inzicht op doet uit zijn klantenbestand van bijna 10.000 klanten verspreid over alle grote industrieën wereldwijd. Ze beschrijven een veranderend dreigingslandschap dat steeds complexer wordt, gekenmerkt door toenemende verfijning van veelvoorkomende dreigingen.

CaaS-modellen zoals Ransomware-as-a-Service (RaaS) en Malware-as-a-Service (MaaS) nemen snel toe doordat minder ervaren cybercriminelen toegang krijgen tot nieuwe tools voor aanvallen. In de tweede helft van 2024 stijgt het gebruik van MaaS-tools met 17%, van 40% in de eerste helft naar 57% aan het einde van het jaar.

Ook gebruik van RAT's stijgt

Het gebruik van Remote Access Trojans (RAT’s) neemt ook sterk toe en is in de tweede helft van het jaar verantwoordelijk voor 46% van de geanalyseerde cybercampagnes, vergeleken met 12% in de eerste helft. RAT’s geven aanvallers op afstand controle over geïnfecteerde apparaten, waardoor ze gegevens kunnen stelen, inloggegevens kunnen bemachtigen en slachtoffers kunnen bespioneren.

Het Threat Research-team van Darktrace volgt verschillende ransomwaregroeperingen, waaronder de nieuwe dreiging Lynx en heropkomende groepen zoals Akira, RansomHub, Black Basta, Fog en Qilin. Hoewel phishing een veelgebruikte methode blijft, maken criminelen steeds vaker gebruik van legitieme tools zoals AnyDesk en Atera om communicatie te verbergen. Ook gebruiken ze Living off the Land (LOTL)-technieken voor laterale bewegingen binnen netwerken, slaan gestolen data op in populaire cloudservices en zetten bestandsoverdrachttechnologie in voor snelle exploitatie en dubbele afpersing.

Phishing blijft meestvoorkomende aanvalsmethode

Phishing blijft de meest gebruikte aanvalsmethode. Van december 2023 tot december 2024 worden meer dan 30,4 miljoen phishing-e-mails gedetecteerd bij Darktrace-klanten. Aanvallers verfijnen hun technieken om slachtoffers doelgerichter en overtuigender te benaderen.

Belangrijke trends:

• 38% van de phishingpogingen is spear-phishing, gericht op specifieke personen.
• 32% maakt gebruik van social engineering via QR-codes en AI-gegenereerde tekst.
• 70% omzeilt de DMARC-authenticatiemethode.
• 55% passeert alle bestaande beveiligingslagen voordat Darktrace de aanval detecteert.

Vertrouwde platforms steeds vaker misbruik

Daarnaast misbruiken aanvallers steeds vaker vertrouwde platforms zoals Zoom Docs, QuickBooks, HelloSign, Adobe en Microsoft SharePoint om phishing-e-mails te versturen. Dit maakt detectie moeilijker en vergroot de kans op succesvolle aanvallen.

Nathaniel Jones, VP, Security and AI Strategy, Darktrace, merkt op: "E-mail staat voorop in de evoluerende dreigingen die we in het dreigingslandschap zien. Ransomware-as-a-Service-tools, gecombineerd met het toenemende gebruik van AI, stellen zelfs laaggeschoolde aanvallers in staat om overtuigende, gerichte e-mailaanvallen op grote schaal uit te voeren, en maken het moeilijker dan ooit voor traditionele beveiligingsmaatregelen om bij te blijven."

Aanvallers ontwijken detectie

Cybercriminelen richten zich steeds vaker op het onopgemerkt binnendringen van netwerken in plaats van directe verstoring. Ze benutten kwetsbaarheden in randapparatuur en internetgerichte apparaten voor initiële toegang en gebruiken vervolgens LOTL-technieken om detectie te vermijden.

In 2024 richten veel cybercampagnes zich op zwakke plekken in edge- en perimeternetwerktechnologieën. In de eerste helft van het jaar is 40% van de waargenomen aanvalscampagnes gericht op de exploitatie van internetgerichte apparaten. Veelgebruikte doelwitten zijn:

• Ivanti Connect Secure (CS) en Ivanti Policy Secure (PS)
• Palo Alto Network (PAN-OS) firewalls
• Fortinet-apparaten

Darktrace detecteert bijvoorbeeld op 26 maart afwijkende activiteiten bij Palo Alto-firewalls, 17 dagen voordat de kwetsbaarheid op 12 april openbaar wordt gemaakt. Dit blijkt later een geval van PAN-OS-exploitatie te zijn.

Gestolen inloggegevens

Dreigingsactoren maken ook steeds vaker gebruik van gestolen inloggegevens om toegang te krijgen tot VPN’s en andere externe netwerktoegangen. Eenmaal binnen blijven ze onder de radar door legitieme systeemtools te gebruiken.

Veel traditionele beveiligingstools kunnen deze technieken moeilijk onderscheiden van legitiem beheer. Geavanceerde actoren zoals Advanced Persistent Threats (APT’s) maken hier gebruik van, maar ook kleinere cybercriminelen profiteren hiervan. Door bestaande tools te misbruiken, besparen ze kosten en omzeilen ze detectie, terwijl traditionele beveiligingsmaatregelen pas reageren wanneer indicatoren van compromise (IoC’s) bekend worden.

“De combinatie van Cybercrime-as-a-Service, automatisering en AI zorgt ervoor dat de geavanceerdheid en diversiteit van aanvalstechnieken sneller dan ooit toeneemt - van phishing-campagnes met AI-ondersteuning tot evoluerende ransomwaredreigingen”, zegt Nathaniel Jones, VP, Security and AI Strategy, Darktrace. “Het is niet langer voldoende om dreigingen te detecteren en erop te reageren. Organisaties moeten prioriteit geven aan cyberweerbaarheid door proactief zwakke plekken in systemen, mensen en data aan te pakken voordat aanvallers ze kunnen uitbuiten.”