Sophos, wereldwijd leider in next-generation cybersecurity, heeft deze week zijn ‘Active Adversary Playbook 2021′ uitgebracht, een uitgebreid rapport met details over het gedrag van cybercriminelen, de tools, technieken en procedures (TTP) die de cybersecurity- en threat-specialisten van Sophos in 2020 hebben opgemerkt. De TTP-data gelden ook voor de eerste maanden van 2021.
Uit de bevindingen blijkt dat hackers gemiddeld 11 dagen – of 264 uur – op een netwerk zaten voordat hun activiteiten werden gedetecteerd. De langst onopgemerkte inbraak duurde maar liefst 15 maanden. Bij 81% van de incidenten zag Sophos ransomware pogingen en bij 69% van de aanvallen werd gebruik gemaakt van het zogenaamde remote desktop protocol (RDP) om zich lateraal in het doelnetwerk te kunnen verplaatsen.
Het rapport is gebaseerd op telemetriedata van Sophos, 81 grotere onderzoeken naar incidenten, inzichten van het Sophos Managed Threat Response team (MTR) dat bestaat uit dreigingsonderzoekers en -analisten, en het Sophos Rapid Response-team met specialisten die snel en adequaat op cyberincidenten reageren. Het doel van het rapport is om IT-securityteams te helpen begrijpen wat hun ’tegenstanders’ doen tijdens een aanval en hoe ze kwaadaardige activiteiten op hun netwerk (sneller) kunnen spotten en zich hier tegen kunnen verdedigen.
Dit zijn de belangrijkste bevindingen uit het Sophos Active Adversary Playbook 2021:
De gemiddelde duur die hackers op het netwerk doorbrachten voor ze ontdekt werden was 11 dagen – Om dit in juiste context te plaatsen: 11 dagen bieden aanvallers de mogelijkheid om 264 uur aan kwaadaardige activiteiten uit te voeren, zoals laterale verplaatsingen op het netwerk, uitgebreide verkenning, zogenaamde credential dumping, data diefstal en veel meer. Aangezien sommige van deze activiteiten slechts een paar minuten of uren duren – en vaak ’s nachts of buiten de normale werkuren plaatsvinden – geven die 11 dagen hackers ruimschoots de tijd om veel schade aan te richten in het netwerk van een organisatie. Opvallend is dat ransomware-aanvallen doorgaans een kortere verblijfsduur op het netwerk hebben dan onzichtbare ‘stealth’-aanvallen, omdat het bij deze aanvallen vaak om het ondermijnen/vernietigen van de IT-infrastructuur gaat.
Bij 90% van de aanvallen werd gebruik gemaakt van het Remote Desktop Protocol (RDP) – en in 69% van alle gevallen gebruikten aanvallers RDP voor interne laterale verplaatsing op het netwerk. Beveiligingsmaatregelen voor RDP, zoals VPN’s en multifactorauthenticatie, zijn meestal gericht op de bescherming tegen (ongeoorloofde) externe toegang. Maar deze tools werken niet als de aanvaller zich al binnen het netwerk bevindt. Het gebruik van RDP voor interne laterale verplaatsing komt steeds vaker voor bij actieve, hands-on-keyboard-aanvallen, denk hierbij aan ransomware aanvallen.
Interessante links in de top vijf van tools die zijn aangetroffen in netwerken van de slachtoffers. Wanneer hackers bijvoorbeeld PowerShell gebruiken in een aanval, ziet Sophos ook Cobalt Strike in 58% van de gevallen, PsExec in 49%, Mimikatz in 33% van de aanvallen en GMER in 19%. Cobalt Strike en PsExec worden samen gebruikt in 27% van de aanvallen, terwijl Mimikatz en PsExec samen voorkomen in 31% van de aanvallen. Tenslotte komt de combinatie van Cobalt Strike, PowerShell en PsExec voor in 12% van alle aanvallen. Dergelijke correlaties zijn belangrijk omdat de detectie van zo’n combinatie een alarmsignaal kan zijn voor een dreigende aanval. Het kan ook de aanwezigheid van een actieve aanval bevestigen.
Ransomware in maar liefst 81% van de onderzochte aanvallen. Het gebruik van ransomware is vaak het moment waarop een aanval zichtbaar wordt voor een IT-beveiligingsteam. Het is dan ook niet verwonderlijk dat bij het overgrote deel van de incidenten waarop Sophos heeft gereageerd, ransomware betrokken was. Andere aanvalstypes die Sophos onderzocht waren onder andere data-exfiltratie, cryptominers, banking trojans, wipers, droppers en pentests/aanvaltools.
“Het bedreigingslandschap wordt steeds drukker en complexer, met aanvallen die worden gelanceerd door cybercriminelen die over een breed scala aan vaardigheden en middelen beschikken. Het zijn zowel scriptkiddies door natiestaten gesteunde dreigingsgroepen. Dit kan de taak van de securityteams uitdagend maken,” zegt John Shier, senior beveiligingsadviseur bij Sophos. “Het voorbije jaar heeft ons respons team geholpen bij het neutraliseren van aanvallen van meer dan 37 aanvalsgroepen die samen meer dan 400 verschillende tools gebruikten.”
Veel van deze tools worden ook gebruikt door IT-beheerders en beveiligingsprofessionals voor hun dagelijkse taken en het is niet altijd eenvoudig om het verschil te zien tussen goedaardige en kwaadaardige activiteiten.
“Aangezien hackers gemiddeld 11 dagen ongezien in het netwerk doorbrengen en hun aanval uitvoeren terwijl ze opgaan in de dagelijkse IT-activiteiten, is het van cruciaal belang dat securityteams begrijpen op welke signalen ze moeten letten en welke activiteiten ze moeten onderzoeken. Een van de grootste alarmbellen is bijvoorbeeld wanneer een legitieme tool of activiteit wordt gedetecteerd vanop een onverwachte plaats. In ieder geval moeten securityteams onthouden dat technologie vandaag heel veel kan doen, maar in het huidige bedreigingslandschap is dit alleen misschien niet voldoende. De mensen spelen ook een belangrijke rollen. Awareness, menselijke ervaring en het vermogen om snel te reageren zijn een cruciaal onderdeel van elke beveiligingsoplossing.”
Andere onderwerpen die in het rapport aan bod komen, zijn onder meer: de tactieken en technieken die het meest waarschijnlijk wijzen op een actieve bedreiging en een onderzoek rechtvaardigen, wat de vroegste tekenen van een aanval zijn, wat de meest voorkomende actoren, bedreigingstypen en schadelijke elementen zijn, welke hackersgroepen het meest zijn waargenomen en nog veel meer.
