Darktrace ziet een sterke opmars van Ransomeware-as-a-Service-aanvallen

Darktrace verzamelt de inzichten vanuit zijn Darktrace Security Operations Center (SOC) en op basis van informatie van klanten. De resulaten hiervan zijn te vinden op het ‘Inside the SOC’-blog.

De meest opvallende trends uit het rapport zijn:

Ransomware-as-a-Service (RaaS) is in opmars

• Ransomware-as-a-Service (RaaS) en Malware-as-a-Service (MaaS) zijn het vaakst geïdentificeerd en gemitigeerd. RaaS en MaaS zullen organisaties in de rest van 2023 en waarschijnlijk tot in 2024 hard treffen.
• Eén van de meest opvallende vormen van Ransomware-as-a-Service van het afgelopen jaar is Hive-ransomware. Hoewel RaaS-aanvallen niet op één manier worden verspreid, heeft Darktrace DETECT een aantal trends waargenomen die kenmerkend zijn voor een Hive-ransomwareaanval. De eerste toegang vindt hierbij plaats via phishing of misbruik van ongepatchte lekken in Microsoft Exchange, nog voordat er gebruik wordt gemaakt van legitieme tools om toegang te krijgen tot het netwerk. Het doel is zoveel mogelijk gegevens buit te maken en te versleutelen.
• Deze Hive-aanvallen - en veel andere soorten MaaS- en RaaS-aanvallen - worden vaak versterkt met al beschikbare tools, waaronder legitieme tools voor beveiligingstests zoals Cobalt Strike en andere toepassingen. Deze ‘Frankenstein’-aanpak neemt hoogstwaarschijnlijk toe naarmate het gebruik van open-source code en de groei van de MaaS-markt vordert.

Afwijkende activiteit in verschillende sectoren

• Darktrace's Cyber AI Analyst, onderdeel van Darktrace DETECT, heeft in de eerste helft van het jaar verschillende belangrijke afwijkende trends waargenomen. Beaconing is tussen januari en juni 2023 de meest waargenomen activiteit, wat duidt op Command and Control-activiteiten.
• Darktrace Cyber AI Analyst zag in de eerste helft van het jaar ook meer pogingen tot aanvallen bij klanten in de maakindustrie, op de voet gevolgd door de IT, de financiële sector, de zorgsector, de publieke sector en het onderwijs.

De verwachtingen van Darktrace

• Verlaging van de drempel: de groeiende MaaS-markt voorziet ook beginnende cybercriminelen van de tools die nodig zijn om zeer gerichte aanvallen uit te voeren. Dit leidt tot uitdagingen voor cybersecurity-teams die vaak volgens specifieke draaiboeken werken en kan grote gaten in de beveiliging tot gevolg hebben, vooral als de aanvaller legitieme, alledaagse toepassingen en tools gebruikt.
• Cascading supply chain attacks: met een groeiende pool van toeleveringsketens die mogelijk worden gemaakt door onderling verbonden en flexibele technologie, zullen cascading-aanvallen op toeleveringsketens waarschijnlijk doorgaan. Een cascading-aanval bestaat uit meederen stappen om het uiteindelijke doel te bereiken. Een voorbeeld hiervan is de 3CX-aanval die eerder dit jaar werd gerapporteerd.
• Dreigingen in de cloud nemen toe: de verschuiving naar cloud-infrastructuur heeft gezorgd voor extra risico’s. Gevoelige informatie die voorheen lokaal werd opgeslagen, is nu toegankelijk via algemene tools die overal vandaan toegankelijk zijn. Cybercriminelen weten dat. Omdat organisaties nog steeds grotendeels afhankelijk zijn van wachtwoorden voor toegang tot SaaS- en cloud-applicaties, is de kans groot dat cloud-gerichte identiteitsdiefstal een belangrijke aanvalsvector blijft.

Met de unieke benadering van AI door Darktrace, die gericht is op het gebruik van AI om afwijkingen in gedragspatronen te detecteren, beperkt het bedrijf dreigingen die soms nog niet eens bekend zijn. Zodra Darktrace een dreiging detecteert en onder controle heeft, begint het werk van het Threat Intelligence-team; een groep getalenteerde analisten verspreid over de hele wereld. De gemitigeerde gevallen worden vergeleken met de meer bekende dreigingen binnen de threat intelligence community. Op die manier worden trends en thema's zichtbaar die waardevol zijn om te delen.

Het volledige rapport is online beschikbaar.