Mkb, regionale MSP’s steeds vaker doelwit APT-aanvallen

Analisten van Proofpoint identificeerden tussen 2022 en 2023 op basis van een jaar aan APT-campagnedata drie belangrijke trends voor aanvallen gericht op het mkb:

• Gecompromitteerde mkb-accounts worden gebruikt voor phishing-campagnes.

• Staatsgebonden criminelen richten zich tot mkb-bedrijven voor financieel gewin.

• Kwetsbare regionale aanbieders van managed services (regionale MSP’s) worden via phishing het doelwit van supply chain-aanvallen.

"Kleine en middelgrote bedrijven komen steeds vaker voor in de phishing-data van Proofpoint als doelwit van cyberaanvallers die door staten worden gesteund”, vertelt Michael Raggi, Staff Threat Research Engineer bij Proofpoint, in een toelichting. “APT-aanvallers hebben ingezien dat het interessant kan zijn om organisaties van een kleiner formaat aan te vallen. Mkb-bedrijven beschikken immers over veel waardevolle informatie en zijn vaak onderdeel van de supply chain van grote ondernemingen. Proofpoint verwacht dat het aantal aanvallen, uitgevoerd door APT-aanvallers, op het mkb in 2023 blijft toenemen

Mkb gebruikt voor phishing-campagnes

Onderzoekers van Proofpoint hebben het afgelopen jaar gevallen waargenomen waarbij domeinen of e-mailadressen van mkb-bedrijven werden geïmiteerd of gecompromitteerd. Vaak betrof dit een cybercrimineel die erin slaagde een webserver of e-mailaccount te compromitteren.

De aanvallers gebruikten daarbij credential harvesting of, in het geval van een webserver, exploiteerden niet-gepatchte kwetsbaarheden. Vervolgens werd het e-mailadres gebruikt om een malafide e-mail te versturen naar andere doelwitten. Als een aanvaller een webserver met een domein had gecompromitteerd, misbruikte hij die legitieme infrastructuur om schadelijke malware te hosten of af te leveren bij een externe partij.

Aanvallen voor financieel gewin

Staatsgebonden cybercriminelen (ook wel statelijke actoren genoemd) die uit zijn op financieel gewin blijven een constante bedreiging voor de financiële sector vanwege spionage, diefstal van intellectueel eigendom en vernietigende aanvallen. APT-aanvallers die banden hebben met Noord-Korea richtten zich de afgelopen jaren op financiële instellingen, gedecentraliseerde financiering (DeFi) en blockchain-technologie om geld en cryptocurrency te stelen. Met dat geld worden vervolgens allerlei overheidsactiviteiten van Noord-Korea gefinancierd.

In december 2022 zag Proofpoint dat een middelgrote digitale bank in de Verenigde Staten ten prooi viel aan een phishing-campagne van het aan Noord-Korea gelieerde TA444. De e-mail gebruikte een e-mailadres dat zich voordeed als ABF Capital en bevatte een schadelijke URL waarmee de CageyChameleon-malware werd verspreid.

Supply chain-aanvallen op MSP’s

De derde en laatste opkomende trend die tussen 2022 en 2023 werd waargenomen, is dat APT's zich steeds vaker richten op kwetsbare regionale managed service providers (MSP's) om supply chain-aanvallen uit te voeren. Regionale MSP's bedienen volgens Proofpoint vaak honderden kleine en middelgrote ondernemingen in hun regio en een aantal van hen beschikt over beperkte cybersecurity-maatregelen. APT-aanvallers zien hierin kans om toegang te krijgen tot de omgevingen van eindgebruikers. Proofpoint constateert dan ook dat regionale MSP's het doelwit zijn van phishing-campagnes van APT-aanvallers.

Kortom: het APT-landschap wordt steeds complexer en wijst erop dat staatsgebonden cyberaanvallers zich gretig richten op kwetsbare mkb-bedrijven en regionale MSP's. Uit data van Proofpoint van het afgelopen jaar blijkt dat verschillende landen en bekende APT-aanvallers zich richten op kleine en middelgrote bedrijven, naast overheden, militairen en grote bedrijven. Door de infrastructuur van kleine en middelgrote bedrijven te gebruiken voor andere doelwitten, voor financieel gewin en om supply chain-aanvallen uit te voeren op regionale MSP's, vormen APT-aanvallers een groot risico voor het mkb.