In de eerste helft van 2023 vonden minder ransomwareaanvallen bij bedrijven en organisaties plaats die juist wel meer schade aanrichtten. Er waren ook meer gerichte aanvallen. Dat blijkt uit halfjaarlijkse Global Threat Landscape Report van FortiGuard Labs.
Het bedrijf vond ruim 10.000 unieke exploits, 68% meer dan vijf jaar geleden. Organisaties krijgen dan wel te maken met de groeiende vindingrijkheid van cybercriminelen en een stortvloed aan gerichte cyberaanvallen.
De afgelopen jaren nam het aantal aanvallen met ransomware alleen maar toe. Dat kwam voor een belangrijk deel door de opkomst van Ransomware-as-a-Service (RaaS). De afname van het laatste half jaar was de afname van het aantal aanvallen met gijzelsoftware 13 procent minder dan in dezelfde periode vijf jaar geleden. Toen was de groei 22%.
Het gerichte karakter van de aanvallen is volgens de organisatie te wijten aan de toenemende vindingrijkheid van cybercriminelen en hun wens om hun return on investment (ROI) per aanval op te voeren. Daarnaast blijft het aantal ransomware-detecties sterke schommelingen vertonen. Zo werd het eerste halfjaar van 2023 afgesloten met 13 keer meer detecties dan aan het einde van 2022. Dit aantal blijft echter een neerwaartse trend vertonen in vergelijking met heel 2022.
Cybercriminelen maken vallen met 327 keer grotere waarschijnlijkheid binnen zeven dagen na publicatie kwetsbaarheden met de hoogste EPPS-scores aan, bleek uit het Exploit Prediction Scoring System (EPSS). Dit initiatief maakt gebruik van informatie uit een veelheid aan bronnen om de kans te voorspellen dat een bepaalde kwetsbaarheid wordt misbruikt.
De analyse van data voor een periode van zes jaar besloeg ruim 11.000 gepubliceerde kwetsbaarheden en detecties van exploits. Hieruit bleek dat common vulnerabilities & exposures (CVE’s) met een hoge EPSS-score (de top 1% qua ernst) met 327 keer grotere waarschijnlijkheid binnen zeven dagen na publicatie worden misbruikt.
Red Zone
In de tweede helft van 2022 vertegenwoordigde de zogeheten Red Zone ongeveer 8,9% van alle kwetsbaarheden. Dat betekent dat circa 1.500 van de ruim 16.500 bekende CVE’s met aanvallen te maken kreeg. In de eerste helft van 2023 daalde dit percentage lichtelijk tot 8,3%.
De verschillen tussen de tweede helft van 2022 en de eerste helft van 2023 zijn minimaal. De Red Zone lijkt daarmee de ‘sweet spot’ te zijn voor cybercriminelen die hun pijlen richten op kwetsbaarheden op endpoints.
Wel is het zo dat het aantal ontdekte kwetsbaarheden op endpoints aanwezig is en wordt misbruikt voortdurend fluctueert. Deze variabelen en een effectieve strategie voor patchbeheer kunnen de Red Zone aanzienlijk verkleinen.
Voor de eerste keer in de geschiedenis van het Global Threat Landscape Report bracht FortiGuard Labs het aantal cybercriminelen achter trends in kaart. Het bleek dat 41 (30%) van de 138 cybercriminele groeperingen in het eerste halfjaar van 2023 actief waren. Turla, StrongPity, Winnti, OceanLotus en WildNeutron waren het meest actief gemeten naar het aantal malwaredetecties. De aanvalscampagnes van APT-groepen en staatshackers zijn gerichter en relatief kortstondig in vergelijking met die van andere categorieën cybercriminelen.
Een vergelijking over een periode van vijf jaar wijst op een explosieve groei van exploits, malware-varianten en botnets. Unieke exploits beleven een opmars. In de eerste helft van 2023 detecteerde de organisatie ruim 10.000 unieke exploits. Dat is 68% meer dan vijf jaar geleden.
Het rapport wijst daarnaast op een afname van het aantal exploitpogingen per organisatie met ruim 75% in vijf jaar tijd en een afname van 10% van het aantal ernstige exploits. Dit doet vermoeden dat cybercriminelen hun toolkits niet alleen hebben uitgebreid, maar dat hun cyberaanvallen ook een veel gerichter karakter hebben dan vijf jaar geleden.
Malware-families en -varianten vertoonden een explosieve groei met respectievelijk 135% en 175%: Een andere opmerkelijke onderzoeksbevinding is dat het aantal malware-families dat hun weg vond naar minimaal 10% van alle wereldwijde organisaties de afgelopen vijf jaar verdubbelde. Dit kwam omdat meer cybercriminelen en APT-groepen hun activiteiten konden uitbreiden en hun aanvallen op nieuwe manieren vormgeven.
Een belangrijk aandachtspunt was de toename van wiper-malware, die voornamelijk terug te voeren was op het conflict tussen Rusland en Oekraïne. Deze toename hield in heel 2022 aan, maar zwakte in de eerste helft van 2023 af. Het rapport stelt dat staatshackers nog altijd wipers gebruiken, maar dat ook steeds meer cybercriminelen dat doen voor hun aanvallen op IT-bedrijven, productiebedrijven, overheidsinstellingen, telecombedrijven en zorginstellingen.
Bots langer dan ooit in netwerken aanwezig
Het rapport wijst op een toename van het aantal actieve botnets (+27%) en een sterkere aanwezigheid van botnets binnen organisaties (+126%) in de afgelopen vijf jaar. Nog schokkender is de exponentiële groei van het aantal ‘actieve dagen’. Dit is de tijd die verstrijkt tussen de eerste en laatste keer dat een botnet een beveiligingssensor aftast.
In het eerste halfjaar van 2023 duurde het gemiddeld 83 dagen voordat de communicatie tussen bots en hun command and control (C2)-server werd verbroken. Dit is duizend keer langer dan vijf jaar geleden.
Lees ook:
- Generatieve AI steeds vaker ingezet bij ransomware-aanvallen
- Waarom je regelmatig een cybercrisis moet oefenen
