Meer dan één op de twee phishing-e-mails omzeilt alle lagen van de beveiliging, blijkt uit onderzoek van Darktrace

Belangrijkste resultaten:
E-mailphishing blijft een belangrijke dreiging, met 17,8 miljoen gedetecteerde phishing-e-mails tussen december 2023 en juli 2024: 62% omzeilde DMARC-controles die zijn ontworpen om bescherming te bieden tegen ongeautoriseerd gebruik. 56% van de phishing-e-mails passeerde alle bestaande beveiligingslagen
Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS) blijven het dreigingslandschap domineren
Opkomst van nieuwe dreigingen zoals Qilin-ransomware en toegenomen exploitatie van kwetsbaarheden in de edge-infrastructuur
Den Haag, 6 augustus 2024 – Darktrace, gespecialiseerd in kunstmatige intelligentie voor cybersecurity, brengt zijn “First 6: Half-Year Threat Report van 2024” uit, waarin de belangrijkste dreigingen en aanvalsmethoden zijn geïdentificeerd waarmee bedrijven in de eerste helft van 2024 te maken hebben gehad. Deze inzichten zijn waargenomen door het Threat Research-team van Darktrace met behulp van haar unieke zelflerende AI binnen het Darktrace-klantenbestand en werpen een licht op de aanhoudende aard van cyberdreigingen en nieuwe technieken die door aanvallers worden gebruikt om traditionele beveiliging te omzeilen.
E-mailphishing en geavanceerde ontwijkingstechnieken nemen toe
Phishing blijft een aanzienlijke dreiging voor organisaties. Darktrace detecteerde 17,8 miljoen phishing-e-mails in zijn klantenbestand tussen 21 december 2023 en 5 juli 2024. Alarmerend genoeg omzeilde 62% van deze e-mails met succes de verificatiecontroles van Domain-based Message Authentication, Reporting and Conformance (DMARC). Dit zijn industriële protocollen die zijn ontworpen om e-maildomeinen te beschermen tegen ongeautoriseerd gebruik. Maar liefst 56% passeerde alle bestaande beveiligingslagen.
Het rapport benadrukt hoe cybercriminelen geavanceerdere tactieken, technieken en procedures (TTP’s) omarmen die zijn ontworpen om traditionele beveiliging te omzeilen. Daarnaast zag Darktrace een toename in aanvallers die populaire, legitieme services en sites van derden, zoals Dropbox en Slack, in hun activiteiten gebruiken om zich aan te passen aan het normale netwerkverkeer. Ook is er een piek in het gebruik van geheime command and control (C2)-mechanismen, waaronder remote monitoring and management (RMM)-tools, tunneling en proxyservices.
Cybercrime-as-a-Service blijft een aanzienlijk risico vormen voor organisaties
Cybercrime-as-a-Service blijft het dreigingslandschap domineren, waarbij Malware-as-a-Service (MaaS) en Ransomware-as-a-Service (RaaS)-tools een aanzienlijk deel uitmaken van de kwaadaardige tools die door aanvallers worden gebruikt. Cybercrime-as-a-Service-groepen, zoals Lockbit en Black Basta bieden aanvallers alles wat ze nodig hebben; van kant-en-klare malware tot sjablonen voor phishing-e-mails. Hierdoor wordt de drempel voor cybercriminelen met beperkte technische kennis verlaagd.
De meest voorkomende dreigingen die Darktrace van januari tot juni 2024 observeerde, waren:
Informatie-stelende malware (29% van de vroeg getrieerde onderzoeken)
Trojans (15% van de onderzochte bedreigingen)
Remote Access Trojans (RAT’s) (12% van de onderzochte bedreigingen)
Botnets (6% van de onderzochte bedreigingen)
Loaders (6% van de onderzochte bedreigingen)
Verder onthult het rapport de opkomst van nieuwe dreigingen. Met name die van Qilin-ransomware. Deze ransomware gebruikt verfijnde tactieken, zoals het opnieuw opstarten van geïnfecteerde machines in de veilige modus om beveiligingstools te omzeilen en het voor menselijke beveiligingsteams moeilijker maakt om snel te reageren.
Volgens het rapport zijn dubbele afpersingsmethoden nu gangbaar onder ransomware-groepen. Het Threat Research-team van Darktrace drie overheersende ransomware-groepen geïdentificeerd: Akira, Lockbit en Black Basta. Bij alle drie zijn dubbele afpersingsmethoden waargenomen.
“Het dreigingslandschap blijft evolueren, maar nieuwe dreigingen bouwen vaak voort op oude fundamenten in plaats van ze te vervangen. Hoewel we de opkomst van nieuwe malwarefamilies hebben waargenomen, worden veel aanvallen uitgevoerd door de usual suspects die we de afgelopen jaren hebben gezien, waarbij nog steeds gebruik wordt gemaakt van bekende technieken en malwarevarianten”, aldus Nathaniel Jones, Director of Strategic Threat and Engagement bij Darktrace. “MaaS/RaaS-servicemodellen en de opkomst van nieuwe dreigingen zoals Qilin-ransomware onderstrepen de aanhoudende behoefte aan adaptieve, door machine learning aangestuurde beveiligingsmaatregelen die gelijke tred kunnen houden met een snel evoluerend dreigingslandschap.”
Edge-infrastructuurcompromissen en exploitatie van kritieke kwetsbaarheden zijn de grootste zorg
Darktrace zag ook een toename in massaal misbruik van kwetsbaarheden in edge-infrastructuurapparaten, met name die gerelateerd aan Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server en Palo Alto Networks PAN-OS. Dit dient vaak als springplank voor verdere kwaadaardige activiteiten.
Het is van groot belang dat organisaties bestaande aanvalstrends en CVE’s niet uit het oog verliezen: cybercriminelen kunnen hun toevlucht nemen tot eerdere, overwegend inactieve methoden om organisaties voor de gek te houden. Tussen januari en juni maakten aanvallers in 40% van de door het Threat Research-team onderzochte gevallen misbruik van Common Vulnerabilities and Exposures (CVE’s).

Download hier het volledige rapport First 6: Half-Year Threat Report 2024

Over Darktrace
Darktrace (DARK.L) is gespecialiseerd in kunstmatige intelligentie voor cyberbeveiliging en beschermt de wereld tegen cyberverstoringen. Diverse innovaties van het Darktrace Cyber AI Research Centre hebben geresulteerd in meer dan 200 patentaanvragen. In plaats van historische aanvallen te bestuderen, leert en actualiseert de technologie van Darktrace voortdurend haar kennis van de gegevens van een organisatie en past dit inzicht toe om beveiligingsoperaties te helpen transformeren naar een staat van proactieve cyberveerkracht. Het Darktrace ActiveAI Security Platform™ biedt een end-to-end-benadering van cyberveerkracht die bekende en onbekende dreigingen binnen enkele seconden autonoom kan opmerken en erop kan reageren in de hele organisatie, inclusief cloud, apps, e-mail, endpoint, netwerk en operationele technologie (OT). Darktrace, dat in 2021 aan de London Stock Exchange genoteerd werd, heeft wereldwijd ruim 2.400 mensen in dienst en beschermt meer dan 9.700 klanten wereldwijd tegen geavanceerde cyberdreigingen. Ga voor meer informatie naar http://www.darktrace.com.