Hackers nemen er de tijd voor…

De tijd die aanvallers in een netwerk van een organisatie doorbrengen alvorens hun activiteit wordt opgemerkt – aangeduid als ‘dwell time’ – neemt aanzienlijk toe. Dat is wat het cybersecuritybedrijf Sophos (Oxford, UK), één van de grote speler inzake antivirussoftware, recent rapporteerde. Het zou om een toename met 36% gaan in 2021 t.o.v. 2020. Sophos signaleert niet alleen een aanzienlijke toename van de ‘dwell time’ – van gemiddeld 11 dagen in 2020 naar 15 in 2021, het stelt ook vast dat kleinere organisaties nu geliefd zijn bij hackers. Bij organisaties met 3000 en meer medewerkers, namen de aanvallers een twintigtal dagen de tijd. Bij bedrijven met minder dan 250 werknemers brachten ze liefst 51 dagen ongewenst door op de netwerken.
John Shier, senior beveiligingsadviseur bij Sophos: “Aanvallers beschouwen grotere organisaties als waardevoller, dus ze zijn meer gemotiveerd om daar binnen te dringen, er te halen wat ze willen en er weer weg te komen. Kleinere organisaties hebben minder 'waarde', dus aanvallers kunnen het zich veroorloven om voor een langere periode op de achtergrond in het netwerk rond te neuzen. Mogelijk hadden deze aanvallers ook minder ervaring en daarom meer tijd nodig om uit te zoeken wat ze moesten doen als ze eenmaal binnengedrongen waren. Ten slotte hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen om aanvallers te detecteren en uit te schakelen, waardoor hun aanwezigheid langer onopgemerkt blijft”.

Professioneel en industrieel
John Shier: “De wereld van cybercriminaliteit is ongelooflijk divers en gespecialiseerd geworden. Met ‘Initial Access Brokers’ (IAB's) heeft zich een cybercrime-industrie ontwikkeld die doelwitten doorbreekt, verkenningen verricht of een achterpoort installeert, om vervolgens de kant-en-klare toegang te verkopen aan ransomware-bendes voor hun eigen aanvallen. In dit steeds dynamischer wordende, op specialisatie gebaseerde cyberbedreigingslandschap kan het voor organisaties moeilijk zijn om gelijke tred te houden met de steeds veranderende tools en benaderingen die aanvallers gebruiken. Het is van vitaal belang dat verdedigers begrijpen waar ze in elke fase van de aanvalsketen op moeten letten, zodat ze aanvallen zo snel mogelijk worden gedetecteerd en geneutraliseerd".
Langere verblijftijden en open toegangspunten maken organisaties kwetsbaar voor meerdere aanvallers. Er werden situaties ontdekt waarbij meerdere aanvallers, waaronder ‘Initial Access Brokers’, ransomware-bendes, cryptominers en soms zelfs meerdere ransomware-operators, zich tegelijkertijd op dezelfde organisatie richtten.

En verder
Ondanks een afname van het gebruik van Remote Desktop Protocol (RDP) voor externe toegang, maakten aanvallers meer gebruik van deze tool voor interne zijwaartse bewegingen. In 2020 gebruikten aanvallers RDP voor externe activiteit in 32% van de geanalyseerde gevallen, terwijl dit daalde tot 13% in 2021. Daar staat echter tegenover dat aanvallers in 2021 in 82% van de gevallen RDP gebruikten voor interne zijwaartse bewegingen, i.p.v. 69% in 2020.
73% van de onderzochte incidenten had betrekking op ransomware. 50% van de ransomware-incidenten betrof bevestigde data-exfiltratie, een ongeautoriseerde gegevensoverdracht vanaf een computer, of kortweg datadiefstal. De gemiddelde kloof tussen de gegevensdiefstal en de inzet van ransomware beliep 4,28 dagen.