Gecompromitteerde netwerk edge-apparaten zijn intussen een van de grootste aanvalspunten voor kleine en middelgrote bedrijven. VPN’s springen er vooral uit als kwetsbaar.
Het jaarlijkse dreigingsrapport van Sophos laat zien dat firewalls, routers en VPN’s vooral verantwoordelijk waren voor de eerste aanval. Dat gebeurde in bijna dertig procent van alle incidenten die het bedrijf het afgelopen jaar waarnam. Virtual private networks (VPN’s) bleken het meest gecompromitteerd. Deze edge-apparaten waren goed voor meer dan 25% van alle incidenten en ook 25% van de ransomware-aanvallen.
De cijfers komen van gevallen die met telemetrie konden worden bevestigd, aldus Sophos. Dat betekent dus dat het werkelijke aantal gevallen veel hoger kan liggen. Volgens het rapport laat dit zien hoe aanvallers de afgelopen jaren agressief edge-apparaten hebben aangevallen.
End-of-life-apparaten het kwetsbaarst
Daarbij groeit het probleem door het toenemend aantal end-of-life (EOL)-apparaten dat ‘in het wild’ wordt aangetroffen. Deze apparaten gebruiken gewoon internet terwijl ze vaak laag staan op de prioriteitenlijst voor patchen. Voor cybercriminelen zijn juist dit de ideale apparaten om aan te vallen.
Dat laatste is volgens het Sophosrapport intussen deel van een grotere verschuiving in cybercriminele tactieken. Door zwakke apparaten uit te buiten hoeven aanvallers geen aangepaste malware te installeren om aanvallen uit te voeren (‘living off the land’-technieken).
Andere populaire aanvalsmethoden die het rapport schetst zijn social engineering via Software as a Service-platforms. Deze populaire platforms zijn intussen zwaar misbruikte producten, meestal goed voor initiële inbreuken. Verder is diefstal van zakelijke e-mail een groeiende bron van zorg. Hierbij gebruiken aanvallers vaak malware, diefstal van inloggegevens en social engineering. Hierbij noemt het rapport phishing van inloggegevens via ‘adversary-in-the-middle’-aanvallen (AiTM) en vastleggen van tokens met multifactorauthenticatie (MFA) zijn de belangrijkste oorzaken van deze toename.
Aantal AiTM-aanvallen groeit
AiTM-aanvallen zijn een specifieke variant van de traditionele ‘man-in-the-middle’-aanvallen. Daarbij onderscheppen cybercriminelen de communicatie tussen twee partijen om zo gegevens te stelen.
Dit nieuwe type aanval verschilt echter aanzienlijk, omdat het cybercriminelen in staat stelt om actief te interfereren met en communicatie te wijzigen in plaats van deze simpelweg te onderscheppen. Juist deze methode wint de laatste jaren aan populariteit. Dat is vooral het geval bij cybercriminelen die steun krijgen van staten. Zo waarschuwde Microsoft vorig jaar nog dat juist deze AiTM-aanvallen een van de vaakst gebruikte methode is van cybercriminelen. De Digital Crimes Unit (DCU) van de techreus constateerde destijds een toename van 146%.
Tip:
- Onderwijssector rapporteert het hoogste aantal ransomware-aanvallen