Wanneer hackers toegang willen krijgen tot een doelnetwerk, is de kans groot dat ze een phishing-aanval lanceren, bekende softwarekwetsbaarheden misbruiken of zich eenvoudigweg met brute kracht een weg banen via het Remote Desktop Protocol (RDP).
Dit is volgens een nieuw rapport van de cyberbeveiligingsafdeling van Palo Alto Networks, Unit 42. In zijn laatste paper zegt het bedrijf dat deze drie meer dan driekwart (77%) uitmaken van alle vermoedelijke grondoorzaken voor inbraken.
Unit 42 ging dieper en ontdekte dat meer dan de helft (55%) van alle succesvolle softwarekwetsbaarheden gebruikmaakte van ProxyShell (55%), gevolgd door Log4j (14%), SonicWall (7%), ProxyLogon (5%) en Zoho ManageEngine ADSelfService Plus (4%).
Bedrijven hadden echter veel meer kunnen doen om veilig te blijven. Van de 600 incidentresponsgevallen die Unit 42 voor het rapport analyseerde, ontbrak het bedrijven in de helft van de gevallen aan multi-factor authenticatie op kritieke op internet gerichte systemen. Ondertussen had meer dan een kwart (28%) slechte patchbeheerprocedures en had 44% geen endpointbeveiligingsservice.
BEC en ransomware
Zodra ze toegang krijgen, zullen bedreigingsactoren zich bezighouden met zakelijke e-mailcompromissen (BEC) of ransomware-aanvallen. Het gemiddelde bedrag dat via BEC werd gestolen was $ 286,000, aldus het rapport, terwijl voor ransomware de hoogste gemiddelde vraag in de financiële sector was met bijna $ 8 miljoen.
Een nieuw slachtoffer van ransomware krijgt zijn gegevens nu om de vier uur op lekkende sites geplaatst, zo blijkt uit het rapport. Daarom, beweren de onderzoekers, is het van cruciaal belang om ransomware-activiteit in een vroeg stadium te identificeren.
Gewoonlijk brengen de aanvallers tot 28 dagen door op het doelnetwerk om eindpunten te identificeren (opent in nieuw tabblad) en belangrijke gegevens, voordat er daadwerkelijk ransomware wordt ingezet.
“Op dit moment is cybercriminaliteit een gemakkelijk bedrijf om in te stappen vanwege de lage kosten en vaak hoge opbrengsten. Als zodanig kunnen ongeschoolde, beginnende dreigingsactoren aan de slag gaan met toegang tot tools zoals hacking-as-a-service die steeds populairder wordt en beschikbaar wordt op het dark web”, zegt Wendi Whitmore, SVP en hoofd van Unit 42 bij Palo Alto Networks.
"Ransomware-aanvallers worden ook meer georganiseerd met hun klantenservice en tevredenheidsenquêtes terwijl ze in contact komen met cybercriminelen en de slachtofferorganisaties."