Trend Micro: 10% meer dreigingen geblokkeerd in 2023

Dit blijkt uit cijfers van Trend Micro. “We blokkeren meer dreigingen dan ooit tevoren”, zegt Jon Clay (foto), VP of Threat Intelligence bij Trend Micro. “Cybercriminelen gebruiken verschillende soorten TTP’s (tactics, techniques, procedures) in hun aanvallen die verschillende niveaus laten zien, met name bij het ontwijken van de verdediging van organisaties. Ons onderzoek laat zien dat verdedigers risico’s proactief moeten beheren over het gehele aanvalsoppervlak. Het begrijpen van de strategieën die door aanvallers gebruikt worden is de basis van een effectieve verdediging.”

File Reputation Service grijpt vaker in

Trend Micro blokkeerde 160 miljard dreigingen in 2023. Ter vergelijking: vijf jaar geleden was dat nog ‘maar’ 92 miljard. Dreigingen op basis van e-mail en webreputatie namen met respectievelijk 47% en 2% af. Dreigingen die geblokkeerd werden door de Mobile Application Reputation Service van Trend (-2%), Smart Home Network (-12%) en Internet of Things Reputation Service (-64%) namen ook af.

Er was echter een toename zichtbaar in dreigingen die geblokkeerd werden door de File Reputation Service (FRS) van Trend. Dit kan een indicatie zijn dat dreigingsactoren hun doelwitten zorgvuldiger kiezen. In plaats van het aanvallen van een brede groep gebruikers en hopen dat slachtoffers op kwaadaardige links klikken in websites en e-mails, richten ze zich op een kleiner aantal high-profile slachtoffers met een meer geavanceerde aanval. Hierdoor kunnen ze detectielagen zoals netwerk- en e-mailfilters omzeilen, wat de toename van het aantal detecties van kwaadaardige bestanden op endpoints zou kunnen verklaren.

APT-actoren verfijnen hun technieken

In het onderzoek komen ook andere trends naar voren. Zo tonen APT-actoren een verscheidenheid en verfijning van hun aanvallen, vooral met betrekking tot tactieken voor het ontduiken van verdedigingen. E-mail-malwaredetectie nam met 349% toe op jaarbasis, terwijl kwaadaardige en phishing-URL-detectie afnam met 27% op jaarbasis. Dit benadrukt nogmaals de trend voor het gebruik van kwaadaardige bijlagen in aanvallen.

Business Email Compromise (BEC)-detecties namen met 16% toe op jaarbasis. Terwijl is het aantal gedetecteerde ransomware-incidenten juist met 14% op jaarbasis af. De toename in FRS-detecties kan echter een indicatie zijn dat dreigingsactoren beter worden in het omzeilen van detectie via technieken zoals Living-Off-The-Land Binaries en Scripts (LOLBINs/LOLBAs), Bring Your Own Vulnerable Driver (BYOVD), zero-day exploits en AV-termination.

Linux en MacOS ransomware-aanvallen waren goed voor 8% van het totaal aantal ransomware-detecties.

Meer technieken om EDR te omzeilen

Er was een toename in remote encryptie, intermittent encryptie, EDR bypass met gebruik van ongemonitorde virtuele machines (VM’s) en multi-ransomware-aanvallen waarbij slachtoffers vaker dan een keer geraakt werden. Aanvallers erkennen EDR als een goede verdediging, maar gebruiken nu bypass-tactieken om deze technologie te omzeilen. De meeste slachtoffers van ransomware bevinden zich in Thailand en de VS. De banksector werd het vaakst getroffen.

De top MITRE ATT&CK-detecties zijn het omzeilen van verdedigingen, command & control, initiële toegang, persistance en impact.

Risicovolle toegang tot cloud apps was het grootste risico dat gedetecteerd werd door de attacks surface risk management (ASRM)-oplossing van Trend met bijna 83 miljard incidenten.

1.914 zero-days ontdekt via Zero Day Initiative

Het Zero Day Initiative van Trend ontdekte en vermeldde 1.914 zero-days, een toename van 12% op jaarbasis. Dit omvat 111 Adobe Acrobat- en Reader bugs. Adobe was de vendor die het vaakst voorkwam bij het rapporteren van kwetsbaarheden en PDF’s waren het #1 spam-type.

Windows-applicaties vormden de top 3 van kwetsbaarheden die werden uitgebuit via detecties van onze virtuele patches.

Mimikatz (gebruikt bij het verzamelen van gegevens) en Cobalt Strike (gebruikt bij Command & Control) bleven de geprefereerde legitieme instrumenten om te misbruiken om criminele activiteiten te ondersteunen.

Advies

Op basis van deze resultaten adviseert Trend Micro beveiligingsteams om de volgende acties te ondernemen:

• Werk samen met vertrouwde beveiligingsleveranciers en gebruik een platformbenadering om ervoor te zorgen dat bronnen niet alleen worden beveiligd, maar ook continu worden gecontroleerd op nieuwe kwetsbaarheden.
• Geef prioriteit aan de efficiënte inzet van SOC’s door cloudapplicaties zorgvuldig te monitoren, zeker naarmate deze nauwer worden geïntegreerd in de dagelijkse bedrijfsvoering.
• Zorg ervoor dat alle nieuwe patches/upgrades zijn toegepast op besturingssystemen en applicaties.
• Maak gebruik van uitgebreide beveiligingsprotocollen om de organisatie te beschermen tegen kwetsbaarheden, verscherp de configuratie-instellingen, controleer de toegang tot applicaties en verbeter de account- en apparaatbeveiliging. Probeer ransomware-aanvallen eerder in de aanvalscyclus te detecteren door aanvallers te misleiden tijdens de fasen van initiële toegang, laterale bewegingen en data-exfiltratie.

Het Calibrating Expansion: Annual Cybersecurity Threat Report is hier beschikbaar.