Sophos Threat Report 2022: Zwaartekracht van het zwarte gat rond ransomware trekt andere cyberbedreigingen aan en creëert één massaal, onderling verbonden ransomware-bezorgsysteem

Oosterhout, 9 november 2021 – Sophos, wereldwijd leider in cybersecurity van de nieuwste generatie, publiceert vandaag het Sophos Threat Report 2022. Het rapport toont aan hoe het ‘zwarte gat’ van ransomware andere cyberbedreigingen naar zich toe trekt en zo één massaal, onderling verbonden bezorgsysteem vormt, met aanzienlijke gevolgen voor IT-beveiliging. Het rapport werd opgesteld door beveiligingsonderzoekers van SophosLab, Sophos Managed Threat Response threat hunters en rapid responders, en het Sophos AI-team. Het Threat Report biedt een uniek multidimensionaal perspectief op beveiligingsbedreigingen en trends waarmee organisaties in 2022 worden geconfronteerd.

De opvallendste trends volgens het Sophos Threat Report 2022:

1. In het komende jaar zal het ransomware-landschap zowel meer modulair als uniform worden, waarbij gespecialiseerde cybercriminelen verschillende elementen van een aanval as-a-service aanbieden en playbooks leveren met tools en technieken waarmee verschillende groepen tegenstanders zeer vergelijkbare aanvallen kunnen uitvoeren. Volgens de Sophos-onderzoekers maakten aanvallen door afzonderlijke ransomware-groepen in de loop van 2021 plaats voor meer ransomware-as-a-service (RaaS)-aanbiedingen, waarbij gespecialiseerde ransomware-ontwikkelaars kwaadaardige code en infrastructuur verhuren aan gelieerde derde partijen. Bij enkele van de opvallendste ransomware-aanvallen van het jaar was RaaS betrokken, waaronder een aanval tegen Colonial Pipeline in de VS door een filiaal van DarkSide. Een filiaal van Conti ransomware lekte de implementatiegids die door de exploitanten was verstrekt, en onthulde de stapsgewijze tools en technieken die aanvallers konden gebruiken om de ransomware in te zetten.

   Zodra ze over de nodige malware beschikken, kunnen RaaS-filialen en andere ransomware-exploitanten zich wenden tot Initial Access Brokers en malware delivery platforms om potentiële slachtoffers te vinden en te targeten. Dit voedt de tweede grote trend die Sophos voorziet.

2. Gevestigde cyberbedreigingen zullen zich blijven aanpassen om ransomware te verspreiden en af te leveren. Hieronder vallen loaders, droppers en andere commodity-malware; steeds geavanceerdere, door mensen bediende Initial Access Brokers; spam; en adware. In 2021 rapporteerde Sophos over Gootloader die nieuwe hybride aanvallen uitvoerde waarbij massacampagnes werden gecombineerd met zorgvuldige filtering om doelwitten voor specifieke malwarebundels te lokaliseren.
3. Het gebruik van meerdere vormen van afpersing door ransomware-aanvallers om slachtoffers onder druk te zetten losgeld te betalen zal naar verwachting doorgaan en toenemen in bereik en intensiteit. In 2021 catalogiseerden Sophos-incidentresponders 10 verschillende soorten pressietactieken, van gegevensdiefstal en blootstelling, tot dreigtelefoontjes, gedistribueerde DDoS-aanvallen (Distributed Denial of Service), en meer.
4. Cryptocurrency zal cybercriminaliteit zoals ransomware en kwaadaardige cryptomining blijven aanwakkeren, en Sophos verwacht dat de trend zal aanhouden totdat wereldwijde cryptocurrencies beter gereguleerd zijn. In de loop van 2021 hebben Sophos-onderzoekers cryptominers zoals Lemon Duck en de minder voorkomende MrbMiner blootgelegd. Deze maken gebruik van de toegang die wordt geboden door nieuw gemelde kwetsbaarheden en doelwitten die al zijn geschonden door ransomware-exploitanten, om cryptominers op computers en servers te installeren.

“Ransomware gedijt door zijn vermogen om zich aan te passen en te innoveren,” zegt Chester Wisniewski, onderzoekswetenschapper bij Sophos. “Hoewel RaaS-aanbiedingen bijvoorbeeld niet nieuw zijn, was hun belangrijkste bijdrage in voorgaande jaren om ransomware binnen het bereik van lager geschoolde of minder goed gefinancierde aanvallers te brengen. Dit is veranderd en in 2021 investeren RaaS-ontwikkelaars hun tijd en energie in het maken van geavanceerde code en in het bepalen van hoe ze de grootste betalingen kunnen ontfutselen van slachtoffers, verzekeringsmaatschappijen en onderhandelaars. Ze schuiven nu de taken van het vinden van slachtoffers, het installeren en uitvoeren van de malware, en het witwassen van de gestolen cryptocurrencies af op anderen. Dit verstoort het cyberdreigingslandschap. Veelvoorkomende dreigingen zoals loaders, droppers en Initial Access Brokers die er al waren en ontwrichting veroorzaakten ver voor de opkomst van ransomware, worden meegezogen in het schijnbaar allesverslindende ‘zwarte gat’ dat ransomware is.”

“Het is niet langer voldoende voor organisaties om ervan uit te gaan dat ze veilig zijn door simpelweg beveiligingstools te monitoren en ervoor te zorgen dat ze kwaadaardige code detecteren. Bepaalde combinaties van detecties of zelfs waarschuwingen zijn het moderne equivalent van een inbreker die een bloemenvaas breekt terwijl hij door het achterraam naar binnen klimt. Verdedigers moeten waarschuwingen onderzoeken, zelfs de waarschuwingen die in het verleden misschien onbeduidend waren, aangezien deze veelvoorkomende inbraken zijn uitgegroeid tot de basis die nodig is om de controle over hele netwerken over te nemen.”

Aanvullende trends die Sophos analyseerde zijn onder andere:

• Nadat de ProxyLogon– en ProxyShell-kwetsbaarheden in 2021 werden ontdekt (en gepatcht), was de snelheid waarmee ze door aanvallers werden aangegrepen zodanig dat Sophos nog meer pogingen verwacht om massaal misbruik te maken van IT-administratietools en exploiteerbare internetgeoriënteerde diensten door zowel geavanceerde aanvallers als doorsnee cybercriminelen.
• Sophos verwacht ook dat cybercriminelen meer misbruik zullen maken van simulatietools van tegenstanders, zoals Cobalt Strike Beacons, mimikatz en PowerSploit. Verdedigers moeten elke waarschuwing met betrekking tot misbruikte legitieme tools of combinaties van tools controleren, net zoals ze een kwaadaardige detectie zouden controleren, omdat het kan wijzen op de aanwezigheid van een indringer in het netwerk.
• In 2021 brachten onderzoekers van Sophos een aantal nieuwe bedreigingen in kaart die gericht zijn op Linux-systemen. Zij verwachten in 2022 een toenemende belangstelling voor op Linux gebaseerde systemen, zowel in de cloud als op web- en virtuele servers.
• Mobiele bedreigingen en social engineering scams, waaronder Flubot en Joker, zullen naar verwachting doorgaan en diversifiëren om zowel individuen als organisaties te targeten.
• De toepassing van kunstmatige intelligentie op het gebied van cyberbeveiliging zal doorgaan en versnellen, aangezien krachtige modellen voor machine learning hun waarde bewijzen bij het opsporen van bedreigingen en het prioriteren van waarschuwingen. Tegelijkertijd wordt echter verwacht dat tegenstanders meer gebruik zullen maken van AI, waarbij de komende jaren een verschuiving zal plaatsvinden van AI-geactiveerde desinformatiecampagnes en valse sociale mediaprofielen naar watering hole webcontent, phishing-e-mails en meer, naarmate geavanceerde deepfake video- en spraaksynthesetechnologieën beschikbaar komen.

Meer weten over het bedreigingslandschap in 2021 en wat dit betekent voor IT-beveiliging in 2022? Lees het volledige Sophos Threat Report 2022.

Extra content over het Sophos Threat Report 2022:

• Video over de belangrijkste bevindingen, gepresenteerd door Chester Wisniewski, hoofdonderzoekswetenschapper bij Sophos
• Een artikel op SophosLabs Uncut met een samenvatting van de rapportonderdelen
• Een opiniestuk van Sophos News door Wisniewski over de ransomware-oorlogen
• Een artikel van Naked Security ter introductie van het rapport

Extra bronnen:

• Tactieken, technieken en procedures (TTP’s) en meer voor verschillende soorten bedreigingen zijn beschikbaar op SophosLab Uncut, dat de nieuwste informatie van Sophos over bedreigingen biedt
• Informatie over het gedrag van aanvallers, incidentenrapporten en advies voor beveiligingsprofessionals is beschikbaar op Sophos News SecOps
• Meer informatie over Sophos’ Rapid Response-service die 24/7 aanvallen insluit, neutraliseert en onderzoekt
• De vier toptips voor het reageren op een beveiligingsincident van Sophos Rapid Response en het Managed Threat Response Team
• Lees het laatste beveiligingsnieuws en standpunten op Sophos’ bekroonde nieuwswebsite Naked Security en op Sophos News

Over Sophos
Sophos is een wereldwijde leider in next-gen cyberbeveiliging en beschermt meer dan 500.000 organisaties en miljoenen consumenten in meer dan 150 landen tegen de meest geavanceerde cyberdreigingen van vandaag. Aangedreven door threat intelligence, AI en machine learning van SophosLabs en SophosAI, levert Sophos een breed portfolio van geavanceerde producten en diensten om gebruikers, netwerken en endpoints te beveiligen tegen ransomware, malware, exploits, phishing en het brede scala aan andere cyberaanvallen. Sophos biedt een enkele geïntegreerde cloudgebaseerde beheerconsole, Sophos Central – het middelpunt van een adaptief cyberbeveiligingsecosysteem met een gecentraliseerd data lake dat gebruik maakt van een uitgebreide reeks open API’s die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging. Sophos verkoopt haar producten en diensten via resellerpartners en managed service providers (MSP’s) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op www.sophos.com.