Phishing blijft een aanzienlijke dreiging voor organisaties. In een rapport van Darktrace concludeert het bedrijf dat meer dan de helft van alle phishing mails alle beveiligingslagen kan omzeilen.
Darktrace schrijft in het rapport “First 6: Half-Year Threat Report van 2024” dat het 17,8 miljoen phishing-e-mails detecteerde in zijn klantenbestand tussen 21 december 2023 en 5 juli 2024. 62% van deze e-mails omzeilde met succes de verificatiecontroles van Domain-based Message Authentication, Reporting and Conformance (DMARC). Dit zijn industriële protocollen die zijn ontworpen om e-maildomeinen te beschermen tegen ongeautoriseerd gebruik. Maar liefst 56% passeerde alle bestaande beveiligingslagen.
Het rapport benadrukt hoe cybercriminelen geavanceerdere tactieken, technieken en procedures omarmen die zijn ontworpen om traditionele beveiliging te omzeilen. Daarnaast zag Darktrace een toename in aanvallers die populaire, legitieme services en sites van derden, zoals Dropbox en Slack, in hun activiteiten gebruiken om zich aan te passen aan het normale netwerkverkeer. Ook is er een piek in het gebruik van geheime command and control (C2)-mechanismen, waaronder remote monitoring and management (RMM)-tools, tunneling en proxyservices.
Cybercrime-as-a-Service
Cybercrime-as-a-Service blijft het dreigingslandschap domineren, waarbij Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS)-tools een aanzienlijk deel uitmaken van de kwaadaardige tools die door aanvallers worden gebruikt. Cybercrime-as-a-Service-groepen, zoals Lockbit en Black Basta bieden aanvallers alles wat ze nodig hebben; van kant-en-klare malware tot sjablonen voor phishing-e-mails. Hierdoor wordt de drempel voor cybercriminelen met beperkte technische kennis verlaagd.
De meest voorkomende dreigingen die Darktrace van januari tot juni 2024 observeerde, waren:
- Informatie-stelende malware (29% van de vroeg getrieerde onderzoeken)
- Trojans (15% van de onderzochte bedreigingen)
- Remote Access Trojans (RAT’s) (12% van de onderzochte bedreigingen)
- Botnets (6% van de onderzochte bedreigingen)
- Loaders (6% van de onderzochte bedreigingen)
Nieuwe dreigingen
Verder schrijft het rapport over de opkomst van nieuwe dreigingen. Met name die van Qilin-ransomware. Deze ransomware gebruikt verfijnde tactieken, zoals het opnieuw opstarten van geïnfecteerde machines in de veilige modus om beveiligingstools te omzeilen en het voor menselijke beveiligingsteams moeilijker maakt om snel te reageren.
Volgens het rapport zijn dubbele afpersingsmethoden nu gangbaar onder ransomware-groepen. Het Threat Research-team van Darktrace drie overheersende ransomware-groepen geïdentificeerd: Akira, Lockbit en Black Basta. Bij alle drie zijn dubbele afpersingsmethoden waargenomen.
Edge-infrastructuurcompromissen en exploitatie van kritieke kwetsbaarheden zijn de grootste zorg
Darktrace zag ook een toename in massaal misbruik van kwetsbaarheden in edge-infrastructuurapparaten, met name die gerelateerd aan Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server en Palo Alto Networks PAN-OS. Dit dient vaak als springplank voor verdere kwaadaardige activiteiten.
