Beveiligingsbedrijf CrowdStrike schrijft in een nieuw rapport dat natiestaten en criminelen steeds vaker gebruik maken van legitieme inloggegevens en identiteiten om de beveiliging te omzeilen. Verder ziet het bedrijf een toename van hands-on toetsenbordinbraken, domeinoverstijgende aanvallen en cloud control plane exploits.
De resultaten zijn verzameld in het 2024 Threat Hunting Report van CrowdStrike. De belangrijkste bevindingen in dat rapport zijn:
- Noord-Korea-Nexus aanvallers doen zich voor als legitieme Amerikaanse werknemers: FAMOUS CHOLLIMA infiltreerde meer dan 100, voornamelijk Amerikaanse, technologiebedrijven. Door gebruik te maken van vervalste of gestolen identiteitsdocumenten deden kwaadwillende insiders zich voor als IT-personeel op afstand om gegevens te exfiltreren en kwaadaardige activiteiten uit te voeren.
- Hands-on-toetsenbord inbreuken stijgen met 55%: Meer threat actors maken gebruik van hands-on-toetsenbordactiviteiten om zich voor te doen als legitieme gebruikers en bestaande security controles te omzeilen. 86% van alle hands-on inbreuken wordt uitgevoerd door eCrime-aanvallers die financiële winst nastreven. Deze aanvallen stegen met 75% in de gezondheidszorg en 60% in de technologiesector, die al zeven jaar op rij de meest getargete sector blijft.
- Misbruik van RMM-tools groeit met 70%: Aanvallers waaronder CHEF SPIDER (eCrime) en STATIC KITTEN (Iran-nexus) gebruiken legitieme Remote Monitoring and Management (RMM) tools zoals ConnectWise ScreenConnect voor endpoint-exploitatie. Misbruik van RMM-tools was verantwoordelijk voor 27% van alle hands-on-toetsenbord inbreuken.
- Domeinoverstijgende aanvallen blijven aanhouden: threat actors maken steeds vaker misbruik van geldige inloggegevens om in te breken in cloudomgevingen en vervolgens die toegang te gebruiken om endpoints te bereiken. Deze aanvallen laten minimale sporen achter in elk van deze domeinen, vergelijkbaar met afzonderlijke puzzelstukjes, waardoor ze moeilijker te detecteren zijn.
- Cloud aanvallers richten zich op de control plane: Cloudbewuste aanvallers zoals SCATTERED SPIDER (eCrime) maken gebruik van social engineering, beleidswijzigingen en wachtwoordbeheertoegang om te infiltreren in cloudomgevingen. Ze maken gebruik van verbindingen tussen het cloud control plane en endpoints om lateraal te bewegen, volharding te behouden en gegevens te exfiltreren.
Het volledige rapport is hier te lezen.
