2023 CrowdStrike Global Threat Report onthult opkomende dreigingsactoren, een toename van identiteits- en cloudbedreigingen en een enorme toename van aan China-gelinkte activiteiten
CrowdStrike (Nasdaq: CRWD) brengt vandaag het 2023 CrowdStrike Global Threat Report uit. Dit is de negende jaarlijkse editie van het rapport van de leider op het gebied van cybersecurity. Hierin worden het evoluerende gedrag, de trends en de tactieken van de momenteel meest gevreesde nationale staten, eCrime en hacktivisten over de hele wereld besproken. Het rapport volgt de activiteiten van meer dan tweehonderd cybertegenstanders, waaronder 33 nieuwe cybercriminelen die alleen al in het afgelopen jaar zijn geïdentificeerd. Daarnaast waren er toenames van op identiteitsgebaseerde bedreigingen, cloud-exploitaties, aan China-gelinkte spionage en aanvallen waarbij eerder gepatchte kwetswbaarheden opnieuw worden bewapend.
71 procent van de gedetecteerde aanvallen was malwarevrij (tegenover 62 procent in 2021) en hands-on-keyboard-aanvallen, zijn in 2022 met vijftig procent toegenomen – Dit laat zien hoe geavanceerde cybercriminelen steeds vaker antivirusbescherming proberen te omzeilen en machine-only-verdediging te slim af zijn.
112 procent toename van advertenties voor ‘access brokers’ op het dark web ten opzichte van 2021 – Dit illustreert de waarde van en de vraag naar identiteits- en toegangsgegevens op het dark web.
De exploitatie van de cloud is met bijna 95 procent toegenomen en het aantal ‘cloudbewuste’ dreigingsactoren is op jaarbasis bijna verdrievoudigd – Dit bewijst opnieuw dat tegenstanders zich steeds vaker richten op cloudomgevingen.
Er zijn 33 nieuwe tegenstanders geïntroduceerd – Dit is de grootste toename die CrowdStrike ooit in één jaar heeft waargenomen. Hieronder vallen de zeer productieve SCATTERED SPIDERen SLIPPY SPIDER, die achter veel recente spraakmakende aanvallen op telecommunicatie- BPO- en technologiebedrijven zitten.
Tegenstanders maken opnieuw misbruik van kwetsbaarheden – Log4Shell bleef na 2021 het internet teisteren, terwijl zowel bekende als nieuwe kwetsbaarheden, zoals ProxyNotShell en Follina – slechts twee van de meer dan 900 kwetsbaarheden en 30 zero days waarvoor Microsoft in 2022 patches uitbracht– op grote schaal werden uitgebuit. Dit was mogelijk doordat tegenstanders van nationale en eCrime-organisaties patches omzeilden en mitigaties uit de weg gingen.
eCrime-actoren die verder gaan dan het betalen van losgeld om geld te verdienen – In 2022 was er een toename van twintig procent in het aantal tegenstanders dat campagnes voor datadiefstal en afpersing uitvoert.
Aan China-gelinkte spionage is sterk toegenomen in de 39 wereldwijde industriesectoren en twintig geografische regio’s die CrowdStrike Intelligence volgt – De toename in deze activiteit toont aan dat organisaties over de hele wereld en in elke branche waakzaam moeten zijn voor de dreiging vanuit Peking.
De gemiddelde breakout time van eCrime is nu 84 minuten – Dit is een daling ten opzichte van de 98 minuten in 2021. Hieruit blijkt hoe snel de dreigingsactoren tegenwoordig zijn.
De cyberimpact van de oorlog tussen Rusland en Oekraïne was overhyped, maar niet onbelangrijk – CrowdStrike zag een toename in het aantal tegenstanders in Rusland die tactieken voor het verzamelen van inlichtingen en zelfs nep ransomware gebruikten. Dit wijst erop dat het Kremlin van plan is om zich te richten op sectoren en regio’s waar destructieve operaties als politiek riskant worden beschouwd.
Een toename van social engineering-tactieken gericht op menselijke interacties – Tactieken zoals vishing leiden slachtoffers tot SIM-swapping en het downloaden van malware om multifactor-authenticatie (MFA) te omzeilen.
“De afgelopen twaalf maanden hebben een unieke combinatie van securitybedreigingen gebracht. Versplinterde eCrime-groepen doken opnieuw op en waren meer geavanceerd, meedogenloze dreigingsactoren omzeilden gepatchte of gemitigeerde kwetsbaarheden en de gevreesde dreigingen van het conflict tussen Rusland en Oekraïne maskeerden meer sinistere en succesvolle aanvallen door een groeiend aantal aan China-gelinkte tegenstanders”, aldus Adam Meyers, head of intelligence bij CrowdStrike. “De huidige dreigingsactoren zijn slimmer, geavanceerder en beter uitgerust dan ooit tevoren. Alleen door hun snel evoluerende vaardigheden, technieken en doelstellingen te begrijpen – en door technologie te omarmen die wordt gevoed met de nieuwste dreigingsinformatie – kunnen bedrijven de steeds meedogenlozer wordende tegenstanders een stap voor blijven.”
Een nadere kijk op enkele nieuwe tegenstanders
CrowdStrike Intelligence heeft 33 nieuw getraceerde tegenstanders opgespoord, waardoor het totaal aantal bekende dreigingsactoren op meer dan tweehonderd komt. Meer dan twintig van deze nieuwe toevoegingen waren SPIDERS, de naam die CrowdStrike aan eCrime-tegenstanders geeft. Bij de nieuw getraceerde BEAR’s (aan Rusland-gelinkte tegenstanders) waren GOSSAMER BEAR’s credential-phishing operaties zeer actief gedurende het eerste jaar van het conflict tussen Rusland en Oekraïne. Zij richtten zich op onderzoekslaboratoria van de overheid, militaire leveranciers, logistieke bedrijven en ngo’s. CrowdStrike introduceerde ook de eerste tegenstander gelinkt aan Syrië, DEADEYE HAWK, die voorheen bekend was als de hacktivist DEADEYE JACKAL.
Het CrowdStrike Intelligence-team heeft een ongeëvenaarde ruwe verzameling van threat intelligence data, waarbij biljoenen security-gebeurtenissen per dag worden benut om bedreigingen tegen te houden en het CrowdStrike Falcon®-platform te voeden. Het platform stelt Falcon organisaties in staat om proactief de meest geavanceerde bedreigingen tegen te houden via de unieke combinatie van endpoint- en identiteitsbedreigingsbeschermingstechnologie, dankzij tegenstanders aangestuurde informatie en door menselijke analyses.
—————
Noot voor de redactie
Bijgevoegd een infographic van het Global Threat Report, deze is geschikt ter publicatie.
