Cybercriminelen bevinden zich gemiddeld 11 dagen – of 264 uur – op een netwerk voordat men hun activiteiten detecteert. De langst onopgemerkte inbraak duurde maar liefst 15 maanden. Bij 69% van de aanvallen gebruikten criminelen het remote desktop protocol (RDP) om zich lateraal in het doelnetwerk te kunnen verplaatsen.
Gedrag van cybercriminelen
Dit blijkt uit het Active Adversary Playbook 2021. Het betreft een uitgebreid rapport met details over het gedrag van cybercriminelen. En hun de tools, technieken en procedures (TTP) die de cybersecurity- en threat-specialisten van Sophos in 2020 hebben opgemerkt. De TTP-data gelden ook voor de eerste maanden van 2021. Het rapport is gebaseerd op telemetriedata van Sophos, 81 grotere onderzoeken naar incidenten, inzichten van het Sophos Managed Threat Response team (MTR) dat bestaat uit dreigingsonderzoekers en -analisten, en het Sophos Rapid Response-team met specialisten die snel en adequaat op cyberincidenten reageren. Het doel van het rapport is om IT-securityteams te helpen begrijpen wat hun ‘tegenstanders’ doen tijdens een aanval. En hoe ze kwaadaardige activiteiten op hun netwerk (sneller) kunnen spotten en zich hier tegen kunnen verdedigen.
Zoals hierboven gemeld brachten cybercriminelen gemiddeld 11 dagen door op het netwerk van hun slachtoffer. Om dit in juiste context te plaatsen: 11 dagen biedt aanvallers de mogelijkheid om 264 uur aan kwaadaardige activiteiten uit te voeren. Denk daarbij aan laterale verplaatsingen op het netwerk, uitgebreide verkenning, zogenaamde credential dumping, data diefstal en veel meer. Aangezien sommige van deze activiteiten slechts een paar minuten of uren duren geven die 11 dagen hackers ruimschoots de tijd om veel schade aan te richten.
Ondermijning
Opvallend is dat ransomware-aanvallen doorgaans een kortere verblijfsduur op het netwerk hebben dan onzichtbare ‘stealth’-aanvallen. Dit, omdat het bij deze aanvallen vaak om het ondermijnen/vernietigen van de IT-infrastructuur gaat.
Bij 90% van de aanvallen werd gebruik gemaakt van het Remote Desktop Protocol (RDP). En in 69% van alle gevallen gebruikten aanvallers RDP voor interne laterale verplaatsing op het netwerk. Beveiligingsmaatregelen voor RDP, zoals VPN’s en multifactorauthenticatie, zijn meestal gericht op de bescherming tegen (ongeoorloofde) externe toegang. Maar deze tools werken niet als de aanvaller zich al binnen het netwerk bevindt. Het gebruik van RDP voor interne laterale verplaatsing komt steeds vaker voor bij actieve, hands-on-keyboard-aanvallen. Hierbij moeten we denken aan ransomware aanvallen.
Veel ransomware
Het gebruik van ransomware is vaak het moment waarop een aanval zichtbaar wordt voor een IT-beveiligingsteam. Het is dan ook niet verwonderlijk dat bij het overgrote deel van de incidenten waarop Sophos heeft gereageerd, ransomware betrokken was. Andere aanvalstypes die Sophos onderzocht waren onder andere data-exfiltratie, cryptominers, banking trojans, wipers, droppers en pentests/aanvaltools.
Andere onderwerpen die in het rapport aan bod komen, zijn onder meer: de tactieken en technieken die het meest waarschijnlijk wijzen op een actieve bedreiging en een onderzoek rechtvaardigen, wat de vroegste tekenen van een aanval zijn, wat de meest voorkomende actoren, bedreigingstypen en schadelijke elementen zijn, welke hackersgroepen het meest zijn waargenomen en nog veel meer.
