zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Ransomware en malware steeds meer gebruikt in aanloop naar fysieke oorlog

Stijging ransomware met 466 procent sinds 2019 en slecht inzicht security-teams in cybersecuritybedreigingen

14 november 2022 - Ivanti kondigt de resultaten aan van het Ransomware Index Report Q2-Q3 2022. Hieruit blijkt dat ransomware sinds 2019 met 466 procent is toegenomen. Daarnaast wordt het steeds vaker gebruikt als voorloper van een fysieke oorlog, zoals te zien in het Rusland-conflict in Oekraïne en de cyberoorlog tussen Iran en Albanië. 

Het onderzoek voor dit rapport werd uitgevoerd in samenwerking met Cyber Security Works, een Certifying Numbering Authority (CNA), en de threat intelligence solution provider Cyware. Uit het rapport blijkt dat het aantal ransomware-groepen blijft stijgen, maar dat de ransomware ook steeds verfijnder wordt. In de eerste drie kwartalen van 2022 zijn 35 kwetsbaarheden en 159 actieve exploits in verband gebracht met ransomware. Voor veel organisaties blijkt het lastig om hun systemen hier op een efficiënte manier tegen te beschermen. Dit komt door het gebrek aan de juiste gegevens en dreigingscontext.


 
Ransomware-families
Het rapport identificeert tien nieuwe ransomware-families, genaamd Black Basta, Hive, BianLian, BlueSky, Play, Deadbolt, H0lyGh0st, Lorenz, Maui en NamPoHyu. Hiermee komt het totaal op 170 ransomware-families. Deze gebruiken 101 Common Vulnerabilities and Exposures (CVE’s) voor phishing-aanvallen, en daarom vertrouwen ransomware-aanvallers steeds vaker op spear phishing-technieken om nietsvermoedende slachtoffers te lokken en hun kwaadaardige payload af te leveren. Een krachtig voorbeeld hiervan is de Pegasus-spyware, dat een eenvoudig phishing-bericht gebruikt om een backdoor-toegang te creëren, gebruikmakend van iPhone-kwetsbaarheden. Dit resulteerde in de compromittering van vele wereldwijd bekende personen.
Om effectief te zijn heeft ransomware menselijke interactie nodig. Dat enkel phishing wordt gebruikt bij aanvallen is een mythe. Voor het onderzoek zijn 323 actuele ransomware-kwetsbaarheden geanalyseerd en met het MITRE ATT&CK-framework in kaart gebracht om daarmee de tactieken, technieken en procedures te bepalen die worden gebruikt om een organisatie te compromitteren. Hiermee is vastgesteld dat 57 ervan leiden tot een volledige systeemovername vanaf de eerste toegang tot exfiltratie.
 
Nieuwe kwetsbaarheden
Het rapport identificeerde ook twee nieuwe ransomware-kwetsbaarheden: CVE-2021-40539 en CVE-2022-26134. Die worden beide gebruikt door productieve ransomwarefamilies zoals AvosLocker en Cerber, vóór of op dezelfde dag dat ze zijn toegevoegd aan de National Vulnerability Database (NVD). Deze cijfers benadrukken dat organisaties zeer vatbaar zijn voor deze aanvallen als ze uitsluitend vertrouwen op de bekendmaking van NVD's om de kwetsbaarheden in hun systemen te patchen.
Uit het rapport blijkt verder dat er in de KEV-catalogus (Known Exploited Vulnerabilities) van CISA, een veelgebruikte lijst met kwetsbaarheden, die Amerikaanse overheidsinstellingen binnen een bepaalde termijn moeten verhelpen, maar liefst 124 ransomware-kwetsbaarheden ontbreken.
Srinivas Mukkamala, Chief Product Officer bij Ivanti: "IT- en beveiligingsteams moeten dringend een op risico’s gebaseerde aanpak van kwetsbaarhedenbeheer aannemen om zich beter te verdedigen tegen ransomware en andere bedreigingen. Hierbij is het gebruik van automatiseringstechnologieën nodig die gegevens uit verschillende bronnen kunnen correleren (zoals netwerkscanners, interne en externe databases met kwetsbaarheden en penetratietests), risico's kunnen meten, vroegtijdig kunnen waarschuwen, aanvallen kunnen voorspellen en herstelactiviteiten kunnen prioriteren. Organisaties die blijven vertrouwen op traditionele werkwijzen voor vulnerability management, zoals het uitsluitend gebruikmaken van de NVD en andere openbare databases voor het prioriteren en patchen van kwetsbaarheden, blijven een groot risico lopen op cyberaanvallen."
Verder blijkt uit het rapport dat populaire malwarescanners achttien kwetsbaarheden die veel worden gebruikt door ransomware niet detecteren.  Dit maakt het nog duidelijker dat traditionele werkwijzen voor het beheer van kwetsbaarheden niet meer toereikend zijn.
Aaron Sandeen, CEO van Cyber Security Works: "Het is een eng vooruitzicht dat de scanners waarvan je afhankelijk bent niet in staat zijn bekende kwetsbaarheden te identificeren. Organisaties moeten een attack surface management-oplossing invoeren die de blootstelling aan kwetsbaarheden in alle bedrijfsmiddelen van de organisatie kan ontdekken."
 
Kritieke infrastructuur
Het rapport analyseerde ook de impact van ransomware op kritieke infrastructuur, met als drie zwaarst getroffen sectoren de gezondheidszorg, energie en kritieke productie. Uit het rapport blijkt dat 47,4 procent van de ransomware-kwetsbaarheden gezondheidszorgsystemen treffen, 31,6 procent energiesystemen en 21,1 procent kritieke productiesectoren.
Anuj Goel, medeoprichter en CEO van Cyware: "Ook al zijn de herstelstrategieën na een incident in de loop der tijd verbeterd, het oude adagium dat voorkomen beter is dan genezen geldt nog steeds. Om de dreigingscontext correct te analyseren en effectief prioriteit te geven aan proactieve risicobeperkende maatregelen, moet vulnerability intelligence voor SecOps worden geoperationaliseerd. Dit doe je door middel van een stevige orkestratie van beveiligingsprocessen om de integriteit van kwetsbare bedrijfsmiddelen te waarborgen."
 
Toekomstige trends
Het rapport biedt ten slotte nog inzicht in huidige en toekomstige ransomware-trends. Met name malware met cross-platform mogelijkheden blijkt zeer in trek, omdat ransomware-exploitanten hiermee eenvoudig vanuit een enkele codebasis meerdere besturingssystemen kunnen aanvallen. Het rapport brengt ook een aanzienlijk aantal aanvallen op externe leveranciers van beveiligingsoplossingen en softwarebibliotheken aan het licht, wat resulteerde in een overvloed aan mogelijke slachtoffers. In de toekomst kunnen organisaties nieuwe ransomwarebendes verwachten nu prominente groepen zoals Conti en DarkSide naar verluidt hun deuren sluiten. Nieuwe bendes zullen waarschijnlijk de broncode en exploitatiemethoden van de verdwenen ransomware-groepen hergebruiken of aanpassen.
 Het Ransomware Index Report is gebaseerd op gegevens uit verschillende bronnen, waaronder eigen gegevens van Ivanti en CSW, openbaar beschikbare bedreigingsdatabases en bedreigingsonderzoekers en penetratietestteams.
 
Klik hier om het volledige ransomware-rapport te lezen. 
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

  Zetten stijgende brandstofprijzen en inflatie een rem op het hervatten van zakenreizen?
 Oorlog Oekraïne verandert kijk op inzet vluchtelingen in bedrijfsleven
 Zo misbruiken cybercriminelen de oorlog in Oekraïne
 'Er is een cyberoorlog gaande'
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Pas op met het snijden in de kosten als ondernemer
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10