Mandiant belicht cybergevaren in M-Trends 2023-rapport

“M-Trends 2023 maakt duidelijk dat, hoewel onze sector steeds beter wordt in cyberbeveiliging, we steeds evoluerende en steeds geavanceerdere tegenstanders bestrijden. Verschillende trends die we in 2021 zagen, zetten zich in 2022 voort, zoals een toenemend aantal nieuwe malwarefamilies als evenals de toenemende cyberspionage door door de natiestaat gesteunde actoren. Als gevolg hiervan moeten organisaties ijverig blijven en hun cyberbeveiligingspositie blijven verbeteren met moderne cyberdefensiecapaciteiten zijn even kritisch.” – Jurgen Kutscher, VP, Mandiant Consulting bij Google Cloud.

De mondiale mediane verblijftijd daalt tot iets meer dan twee weken

Volgens het M-Trends 2023-rapport blijft de mondiale mediane verblijftijd – die wordt berekend als het gemiddelde aantal dagen dat een aanvaller aanwezig is in de omgeving van een doelwit voordat hij wordt gedetecteerd – jaar-op-jaar dalen tot 16 dagen in 2022. Dit is de kortste gemiddelde mondiale verblijftijd uit alle M-Trends-rapportageperiodes, met een gemiddelde verblijftijd van 21 dagen in 2021.

Bij het vergelijken van de manier waarop bedreigingen werden gedetecteerd, constateerde Mandiant een algemene toename van het aantal organisaties dat door een externe entiteit werd gewaarschuwd voor historische of aanhoudende compromitteringen. Organisaties met het hoofdkantoor in Amerika werden bij 55% van de incidenten op de hoogte gebracht door een externe entiteit, vergeleken met 40% van de incidenten vorig jaar. Dit is het hoogste percentage externe meldingen dat Amerika de afgelopen zes jaar heeft gezien. Op vergelijkbare wijze werden organisaties in Europa, het Midden-Oosten en Afrika (EMEA) in 74% van de onderzoeken in 2022 gewaarschuwd voor een inbraak door een externe entiteit, vergeleken met 62% in 2021.

Deskundigen van Mandiant merkten tussen 2021 en 2022 een daling op in het percentage van hun wereldwijde onderzoeken waarbij ransomware betrokken was. In 2022 had 18% van de onderzoeken betrekking op ransomware, vergeleken met 23% in 2021. Dit vertegenwoordigt het kleinste percentage onderzoeken van Mandiant met betrekking tot ransomware sinds vóór 2020. .

“Hoewel we geen gegevens hebben die erop wijzen dat er één enkele oorzaak is voor de lichte daling van het aantal ransomware-gerelateerde aanvallen die we hebben waargenomen, hebben er meerdere verschuivingen in de besturingsomgeving plaatsgevonden die waarschijnlijk hebben bijgedragen aan deze lagere cijfers. Deze factoren omvatten, maar zijn niet beperkt tot: de aanhoudende inspanningen van de overheid en wetshandhavingsautoriteiten om ransomwarediensten en individuen te ontwrichten, waardoor actoren op zijn minst nieuwe instrumenten moeten ontwikkelen of nieuwe partnerschappen moeten ontwikkelen; het conflict in Oekraïne; Actoren moeten hun initiële toegangsoperaties aanpassen aan een wereld waarin macro’s vaak standaard zijn uitgeschakeld, en organisaties mogelijk beter worden in het sneller detecteren en voorkomen of herstellen van ransomware-gebeurtenissen.” – Sandra Joyce, VP, Mandiant Intelligence bij Google Cloud.

Cyberspionage en malwarefamilies nemen wereldwijd toe

Mandiant identificeerde uitgebreide cyberspionage- en informatieoperaties voorafgaand aan en sinds de Russische invasie van Oekraïne op 24 februari 2022. Met name zag Mandiant activiteiten van UNC2589 en APT28 voorafgaand aan de invasie van Oekraïne, en observeerde hij meer destructieve cyberaanvallen in Oekraïne tijdens de invasie van Oekraïne. eerste vier maanden van 2022 dan in de voorgaande acht jaar.

In 2022 begon Mandiant 588 nieuwe malwarefamilies te volgen, waaruit bleek hoe tegenstanders hun toolsets blijven uitbreiden . Van de nieuw gevolgde malwarefamilies bestond de top vijf uit backdoors (34%), downloaders (14%), droppers (11%), ransomware (7%) en launchers (5%). Deze malwarecategorieën blijven door de jaren heen consistent en backdoors vertegenwoordigen nog steeds iets meer dan een derde van de nieuw opgespoorde malwarefamilies.

In lijn met voorgaande jaren was de meest voorkomende malwarefamilie die Mandiant in onderzoeken identificeerde BEACON, een multifunctionele achterdeur. In 2022 werd BEACON geïdentificeerd bij 15% van alle door Mandiant onderzochte inbraken en blijft veruit het meest gezien in onderzoeken in verschillende regio's. Het is gebruikt door een grote verscheidenheid aan dreigingsgroepen die door Mandiant worden gevolgd, waaronder door de staat gesteunde dreigingsgroepen die worden toegeschreven aan China, Rusland en Iran, evenals financiële dreigingsgroepen en meer dan 700 UNC- groepen. Deze alomtegenwoordigheid is waarschijnlijk te wijten aan de algemene beschikbaarheid van BEACON in combinatie met de hoge aanpasbaarheid en het gebruiksgemak van de malware, aldus het rapport.

“Mandiant heeft verschillende inbraken onderzocht die zijn uitgevoerd door nieuwere tegenstanders die steeds slimmer en effectiever worden. Ze maken gebruik van gegevens uit ondergrondse markten voor cybercriminaliteit, voeren overtuigende social engineering-programma's uit via telefoongesprekken en sms-berichten, en proberen zelfs werknemers om te kopen om toegang te krijgen tot netwerken. Deze groepen vormen een aanzienlijk risico voor organisaties, zelfs voor organisaties met robuuste beveiligingsprogramma's, omdat het lastig is om zich tegen deze technieken te verdedigen. Terwijl organisaties doorgaan met het opbouwen van hun beveiligingsteams, infrastructuur en capaciteiten, moet bescherming tegen deze bedreigingsactoren deel uitmaken van hun ontwerpdoelstellingen.” – Charles Carmakal, CTO, Mandiant Consulting bij Google Cloud

Actieve intelligentie

Het doel van M-Trends is om beveiligingsprofessionals te voorzien van inzichten over de nieuwste activiteiten van aanvallers, zoals die direct aan de frontlinie te zien zijn, ondersteund door bruikbare informatie om de beveiligingshouding van organisaties binnen een evoluerend dreigingslandschap te verbeteren. Om dit doel te bereiken biedt Mandiant inzicht in enkele van de meest productieve dreigingsactoren en hun groeiende tactieken, technieken en procedures.

Om deze doelstelling verder te ondersteunen heeft Mandiant nog eens 150 Mandiant-technieken in kaart gebracht in het bijgewerkte MITRE ATT&CK® - framework, waardoor het totaal op meer dan 2.300 Mandiant-technieken en daaropvolgende bevindingen in verband met het ATT&CK-framework komt. Organisaties moeten prioriteit geven aan welke beveiligingsmaatregelen ze moeten implementeren, op basis van de waarschijnlijkheid dat een specifieke techniek wordt gebruikt tijdens een inbraak.

Aanvullende inzichten uit het M-Trends 2023-rapport zijn onder meer:

• Infectievector: Voor het derde jaar op rij bleven exploits met 32% de meest gebruikte initiële infectievector die door tegenstanders werd gebruikt. Hoewel dit een daling was ten opzichte van de 37% van de inbraken die in 2021 werden geïdentificeerd, bleven exploits een cruciaal instrument dat tegenstanders tegen hun doelwitten konden gebruiken. Phishing kwam terug als de op een na meest gebruikte vector en vertegenwoordigde 22% van de inbraken, vergeleken met 12% in 2021.
• Doelsectoren getroffen: responsinspanningen voor overheidsgerelateerde organisaties omvatten 25% van alle onderzoeken, vergeleken met 9% in 2021. Dit weerspiegelt voornamelijk de onderzoeksondersteuning van Mandiant voor cyberdreigingsactiviteiten die gericht waren op Oekraïne. De volgende vier meest gerichte sectoren uit 2022 komen overeen met wat Mandiant-experts in 2021 observeerden, waarbij de zakelijke en professionele dienstverlening, de financiële sector, de hightechsector en de gezondheidszorg de voorkeur kregen van tegenstanders. Deze industrieën blijven aantrekkelijke doelwitten voor zowel financieel als spionagegemotiveerde actoren.
• Diefstal van inloggegevens : Uit onderzoek van Mandian is gebleken dat zowel het gebruik van wijdverbreide malware voor het stelen van informatie als de aankoop van inloggegevens in 2022 vaker voorkomt dan in voorgaande jaren. In veel gevallen bleek uit onderzoek dat inloggegevens waarschijnlijk buiten de omgeving van de organisatie werden gestolen en vervolgens tegen de organisatie werden gebruikt, mogelijk als gevolg van hergebruik van wachtwoorden of het gebruik van persoonlijke accounts op bedrijfsapparaten.
• Gegevensdiefstal: Deskundigen van Mandiant hebben vastgesteld dat bij 40% van de inbraken in 2022 de tegenstanders prioriteit gaven aan gegevensdiefstal. Mandiant-verdedigers hebben in 2022 vaker gezien dat bedreigingsactoren proberen te stelen of met succes gegevensdiefstaloperaties voltooien dan in voorgaande jaren.
• Noord-Korea's gebruik van cryptovaluta: Naast de traditionele missies voor het verzamelen van inlichtingen en ontwrichtende aanvallen, toonden operators in de Democratische Volksrepubliek Korea in 2022 meer interesse in het stelen en gebruiken van cryptovaluta. Deze operaties zijn zeer lucratief geweest en zullen waarschijnlijk in 2023 onverminderd doorgaan. Voor meer informatie over hoe Noord-Koreaanse dreigingsactoren cybercriminaliteit gebruiken als een manier om hun spionageoperaties te financieren, bekijk het APT43-rapport van Mandiant .

M-Trends 2023-methodologie

De statistieken gerapporteerd in M-Trends 2023 zijn gebaseerd op Mandiant Consulting Investigations van gerichte aanvalsactiviteiten tussen 1 januari 2022 en 31 december 2022. De verzamelde informatie is opgeschoond om de identiteit van doelen en hun gegevens te beschermen.

Bronnen

• M-Trends 2023-rapport: www.mandiant.com/m-trends