CrowdStrike 2023 Threat Hunting Report onthult een toename in identity-based attacks en hands-on- keyboard activiteiten door aanvallers die de verdedingslinie willen omzeilen.

CrowdStrike (Nasdaq: CRWD), publiceert vandaag het CrowdStrike 2023 Threat Hunting Report. De zesde jaarlijkse editie van het rapport beschrijft aanvalstrends en tradecrafts van tegenstanders, waargenomen door CrowdStrike’s elite threat hunters and informatieanalysten.

Het rapport onthult een enorme toename van identiteitsgebaseerde inbraken, groeiende expertise van kwaadwillenden die zich richten op de cloud en een 3x zo hoge piek in het gebruik van legitieme RMM-tools (Remote Monitoring and Management). Daarnaast toont het rapport dat breakout tijd door aanvallers lager is dan ooit.

Het rapport omvat activiteiten van kwaadwillenden tussen juli 2022 en juni 2023 en is het eerste dat wordt gepubliceerd door het nieuwe Counter Adversary Operations-team van CrowdStrike, dat deze week officieel werd aangekondigd op Black Hat USA 2023.

De belangrijkste resultaten van het rapport zijn onder andere:

• Een stijging van 583% in Kerberoasting identiteitsaanvallen wijst op enorme toename in identiteitsgebaseerde inbraken: CrowdStrike constateerde een alarmerende piek van bijna 6x zoveel Kerberoasting-aanvallen op jaarbasis, een techniek die kwaadwillenden kunnen misbruiken om inloggegevens te verkrijgen voor Active Directory-serviceaccounts, waardoor actoren vaak meer rechten krijgen en langer onopgemerkt kunnen blijven in de omgeving van het slachtoffer. In totaal werd bij 62% van alle interactieve inbraken misbruik gemaakt van geldige accounts, terwijl er een toename was van 160% in pogingen om geheime sleutels en andere inloggegevens te verzamelen via API’s voor cloud instance metadata.
• Een stijging van 312% YoY in het aantal kwaadwillenden dat gebruikmaakt van legitieme RMM-tools: Wat de rapporten van CISA verder bevestigt, is dat aanvallers steeds vaker gebruikmaken van legitieme en bekende externe IT-beheertoepassingen om detectie te omzeilen en op te gaan in de ruis van de onderneming om toegang te krijgen tot gevoelige gegevens, ransomware te implementeren of meer op maat gemaakte opvolgingstactieken te installeren.
• De breakout tijd van ‘adversaries’ bereikt een historisch dieptepunt van 79 minuten: De gemiddelde tijd die een aanvaller nodig heeft om van de oorspronkelijke aanval naar andere hosts in de omgeving van het slachtoffer te gaan, daalde van het vorige laagste punt ooit, 84 minuten in 2022, naar een record van 79 minuten in 2023. Daarnaast werd de snelste breakout tijd van het jaar geregistreerd op slechts zeven minuten.
• De financiële sector zag een indrukwekkende stijging van 80%
• Interactieve inbraken YoY: Interactieve inbraken, waarbij gebruik wordt gemaakt van het toetsenbord, stegen met 40%.
• Toename van advertenties van Access Brokers met 147% op criminele of underground gemeenschappen: Deze advertenties bieden directe toegang tot geldige accounts te koop aan, waardoor de drempel voor eCrime-actoren die criminele operaties willen uitvoeren wordt verlaagd. Bovendien stellen ze gevestigde aanvallers in staat om hun post-exploitatie technieken te verfijnen, waardoor ze hun doelen efficiënter kunnen bereiken.
• Drievoudige toename in het aantal aanvallers die een Linux-privilege-escalatietool gebruiken om cloudomgevingen uit te buiten: Falcon OverWatch, CrowdStrike’s toonaangevende 24/7/365 threat hunting service, zag een verdrievoudiging van het gebruik van Linux-tools linPEAS, die kwaadwillenden inzetten om toegang te krijgen tot metadata van cloudomgevingen, netwerkattributen en verschillende inloggegevens die ze vervolgens kunnen misbruiken.

“In onze tracking van meer dan 215 aanvallers in het afgelopen jaar zagen we een bedreigingslandschap dat is gegroeid in complexiteit en diepgang naarmate bedreigingsactoren overschakelen op nieuwe tactieken en platformen, zoals het misbruiken van geldige inloggegevens om zich te richten op kwetsbaarheden in de cloud en in software”, zegt Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike. “Wanneer we het hebben over het stoppen van inbreuken, dan kunnen we er niet omheen dat tegenstanders steeds sneller worden en dat ze tactieken gebruiken die opzettelijk zijn ontworpen om traditionele detectiemethoden te omzeilen. Security leaders moeten hun teams dan ook de vraag stellen of ze over de juiste oplossingen beschikken om laterale bewegingen van een aanvaller in slechts zeven minuten te stoppen.”

Aanvullende bronnen

• Download het volledige 2023 CrowdStrike Threat Hunting Report op de website van CrowdStrike.
• Luister naar de CrowdStrike Adversary Universe podcast to Know and Stop the
• Lees hier de blog waarin de bevindingen van het rapport worden samengevat.
• Registreer hier om deel te nemen aan het CrowdStrike Counter Adversary Operations-team voor een live CrowdCast op 23 augustus in Noord-Amerika of 24 augustus in EMEA en APJ.