Exploitatie van op internet gerichte applicaties is de nummer één aanvalsvector van het afgelopen jaar
Volgens het recente Kaspersky Incident Response Analytics Report begon meer dan de helft (53,6%) van de cyberaanvallen in 2021 met de exploitatie van kwetsbaarheden. Andere veel voorkomende aanvalsmethoden waren gecompromitteerde accounts en kwaadaardige e-mails.
Wanneer aanvallers hun campagnes plannen, richten ze zich meestal op gemakkelijk herkenbare beveiligingsproblemen, zoals openbare servers met bekende kwetsbaarheden, slechte wachtwoorden of gecompromitteerde accounts. Jaar na jaar hebben deze initiële toegangsvectoren geleid tot een toenemend aantal zeer ernstige cybersecurity-incidenten.
Analyse van geanonimiseerde gegevens van incident response cases die door Kaspersky Global Emergency Response Team (GERT) van over de hele wereld zijn behandeld, toont aan dat exploitatie van publiek toegankelijke applicaties, zowel vanaf het interne netwerk als vanaf het internet, de meest gebruikte initiële vector is geworden om de perimeter van een organisatie binnen te dringen. Het aandeel van deze methode als aanvalsvector is toegenomen van 31,5% in 2020 tot 53,6% in 2021, terwijl het gebruik van gecompromitteerde accounts is afgenomen (van 31,6% naar 17,9%), evenals kwaadaardige e-mails (23,7% tot 14,3%). Deze verandering houdt waarschijnlijk verband met de vorig jaar ontdekte kwetsbaarheden op Microsoft Exchange Servers. De alomtegenwoordigheid van deze e-maildienst en de openbare beschikbaarheid van exploits voor deze kwetsbaarheden hebben geleid tot een enorm aantal gerelateerde incidenten.
Wat betreft de impact van de aanvallen is bestandencryptie, een van de meest voorkomende soorten ransomware die organisaties de toegang tot hun gegevens ontneemt, al drie jaar op rij het grootste probleem waarmee bedrijven worden geconfronteerd. Daarnaast is het aantal organisaties dat in hun netwerk te maken kreeg met cryptors in de waargenomen periode aanzienlijk toegenomen (van 34% in 2019 naar 51,9% in 2021). Een ander alarmerend aspect is dat aanvallers in ruim de helft van de gevallen (62,5%) meer dan een maand binnen het netwerk doorbrengen voordat ze gegevens versleutelen.
Aanvallers slagen erin onopgemerkt binnen een infrastructuur te blijven, grotendeels dankzij OS-tools, bekende offensieve tools en het gebruik van commerciële frameworks, die bij 40% van alle incidenten betrokken zijn. Na de eerste penetratie gebruiken aanvallers legitieme tools voor verschillende doeleinden: PowerShell om gegevens te verzamelen, Mimikatz om privileges te escaleren, PsExec om commando's op afstand uit te voeren of frameworks als Cobalt Strike voor alle stadia van de aanval.
"Ons rapport toont aan dat een passend patchbeheerbeleid alleen al de kans op een succesvolle aanval met 50% kan verminderen. Dit bevestigt nogmaals de noodzaak van elementaire cybersecuritymaatregelen. Tegelijkertijd kan zelfs de meest grondige implementatie van dergelijke maatregelen geen compromisloze verdediging garanderen", aldus Konstantin Sapronov, hoofd van het Global Emergency Response Team. "Aangezien aanvallers hun toevlucht nemen tot verschillende kwaadaardige methoden, is de beste manier om je organisatie te beschermen gebruik te maken van tools waarmee vijandelijke acties opgemerkt en gestopt kunnen worden in de verschillende stadia van een aanval."
Het volledige Incident Response Analytics Report is beschikbaar op Securelist.
Exploitatie van op internet gerichte applicaties is de nummer één aanvalsvector van het afgelopen jaar
Kaspersky
Verwant artikel Nieuws
Meer dan 2 op de 5 Nederlandse bedrijfsleiders is er niet zeker van dat ex-werknemers geen toegang hebben tot digitale middelen
Personeelsvermindering kan leiden tot extra cybersecurityrisico’s blijkt uit recent onderzoek van Kaspersky naar het gedrag van mkb’s tijdens crises. Zo is nog geen 3 op de 5 (58%) van de Nederlandse bedrijfsleiders ervan overtuigd dat hun ex-werknemers geen toegang meer hebben tot de bedrijfsgegevens die zijn opgeslagen in de cloud, en zelfs meer dan 1 op 10 (12%) is er niet zeker van of ex-werknemers geen bedrijfsaccounts meer kunnen gebruiken.Lees meer >Digitaal geweld via stalkerware toont weinig tekenen van afname
In 2022 waren bijna 30.000 mobiele gebruikers wereldwijd het doelwit van stalkerware (geheime observatiesoftware die door huiselijk geweldplegers wordt gebruikt om slachtoffers te volgen), volgens het laatste Kaspersky State of Stalkerware-rapport.Lees meer >Aanvallen in de industriële sector nemen toe: een jaaroverzicht van Kaspersky
In 2022 werd meer dan 40 procent van de operationele technologie (OT) computers getroffen door kwaadaardige objecten, zo blijkt uit het ICS threat landscape report van Kaspersky. In de tweede helft van 2022 werd de industriële sector wereldwijd getroffen door de meeste aanvallen (34,3%). Deze periode werd ook gekenmerkt door een toenemend aantal aanvallen die werden uitgevoerd met behulp van kwaadaardige scripts, phishingpagina's (JS en HTML) en denylisted bronnen. Aanvallen op de automotive-industrie en de energiesector lieten een ongekende groei zien en waren goed voor 36,9 procent en 34,5 procent van alle industrieën.Lees meer >