Sophos Threat Report: ransomware en andere trends die IT-beveiliging in 2021 vormgeven

Redactie WINMAG Pro
Sophos kom met het Sophos 2021 Threat Report waarin wordt aangegeven hoe ransomware en snel veranderend gedrag van aanvallers het dreigingslandschap en IT-beveiliging in 2021 zullen bepalen. Het rapport biedt een driedimensionaal perspectief op beveiligingsdreigingen en -trends, vanaf het begin tot de daadwerkelijke impact.

De drie belangrijke trends in het rapport:

Kloof tussen ransomware-operators aan beide ‘uiteinden’ zal groter worden

Aan de ‘hoge kant’ zullen de ransomwarefamilies die op groot wild jagen hun tactieken, technieken en procedures (TTP's) blijven verfijnen en veranderen om zich meer ontwijkend op grotere organisaties met losgeld van meerdere miljoenen dollars te richten. Aan de andere kant van het spectrum verwacht Sophos een toename van het aantal aanvallers op ‘instapniveau’ die op zoek zijn naar menugestuurde ransomware-for-rent waarmee ze zich op grote hoeveelheden kleinere prooien kunnen richten.

Een andere ransomwaretrend is "secundaire afpersing", waarbij de aanvallers (naast de gegevensversleuteling) dreigen vertrouwelijke informatie te publiceren wanneer er niet aan hun eisen wordt voldaan. “Het bedrijfsmodel van ransomware is dynamisch en complex. In 2020 zag Sophos een duidelijke trend dat tegenstanders zich differentiëren in termen van vaardigheden en doelen. We hebben echter ook gezien dat ransomwarefamilies de beste tools van hun soort deelden en zelfbenoemde samenwerkingskartels vormden”, zegt Chester Wisniewski, hoofdonderzoeker bij Sophos. “Sommigen leken hun koffers te pakken en verdwenen, behalve dat enkele van hun tools en technieken weer opdoken onder het mom van een nieuwkomer, Egregor. Als de ene dreiging verdwijnt, komt er snel een andere in de plaats. In veel opzichten is het bijna onmogelijk om te voorspellen waar ransomware naartoe zal gaan, maar de aanvalstrends die dit jaar in ons dreigingsrapport worden besproken, zullen waarschijnlijk doorzetten in 2021."

Alledaagse dreigingen (waaronder commodity-malware) vereisen serieuze aandacht

Dergelijke dreigingen kunnen lijken op malware op een laag niveau, maar ze zijn ontworpen om voet aan de grond te krijgen binnen een doelwit, daar essentiële gegevens te verzamelen en gegevens terug te delen met een command-and-control-netwerk voor verdere instructies. Als menselijke operators achter dit soort dreigingen zitten, zullen ze elke gecompromitteerde machine controleren op zijn geolocatie en andere waardevolle tekens, en vervolgens toegang tot de meest lucratieve doelen verkopen aan de hoogste bieder.

“Uit Sophos’s analyse is het duidelijk dat verdedigers commodity-malware serieus moeten nemen. Elke infectie kan tot een andere leiden. Veel beveiligingsteams zullen het gevoel hebben dat zodra malware is geblokkeerd of verwijderd en de besmette machine is schoongemaakt, het incident is voorkomen”, aldus Wisniewski. "Ze realiseren zich misschien niet dat de aanval waarschijnlijk op meer dan één machine was gericht en dat schijnbaar veel voorkomende malware zoals Emotet en Buer Loader kan leiden tot Ryuk, Netwalker en andere geavanceerde aanvallen, die IT misschien pas opmerkt als de ransomware wordt geïmplementeerd. Het onderschatten van ‘kleine’ infecties kan erg duur uitvallen."

Alle rangen zullen in toenemende mate misbruik maken van legitieme tools

Door misbruik van legitieme tools kunnen tegenstanders onder de radar blijven terwijl ze zich door het netwerk verplaatsen totdat ze klaar zijn om het grootste deel van de aanval te starten. Voor aanvallers die door een natiestaat worden gesponsord, is er het extra voordeel dat het gebruik van gemeenschappelijke tools toeschrijving moeilijker maakt.

Nogmaals Wisniewski: "Het misbruik van alledaagse tools en technieken om een ​​actieve aanval te verhullen, kwam prominent naar voren in Sophos' evaluatie in 2020. Deze techniek stelt traditionele beveiligingsbenaderingen op de proef, omdat het verschijnen van bekende tools niet automatisch een waarschuwing geeft. Dit is waar het snelgroeiende gebied van door mensen geleide dreigingsjacht en beheerde dreigingsrespons echt tot zijn recht komt. Menselijke experts kennen de subtiele sporen waarnaar ze moeten zoeken, zoals een legitiem hulpmiddel dat op het verkeerde moment of op de verkeerde plaats wordt gebruikt. Voor getrainde dreigingsjagers of IT-managers die gebruik maken van Endpoint Detection and Response (EDR)-functies, zijn deze signalen handvatten die beveiligingsteams kunnen waarschuwen voor een potentiële indringer en een aanval die gaande is."

Het volledige Sophos 2021 Threat Report is beschikbaar op www.sophos.com/threatreport.

afbeelding van Redactie WINMAG Pro

Redactie WINMAG Pro | Redacteur

Bekijk alle artikelen van Redactie