Zo hebben criminelen toegang tot uw hele ICT-omgeving
Cybercriminelen zijn professioneler dan ooit tevoren. Dat geldt ook voor de wapens die ze inzetten. Met geavanceerde technieken compromitteren ze niet een enkel systeem, desktop of server, maar volledige infrastructuren. Deze aanvalsmethoden braken volgens Sophos in 2019 door.
ICT-omgevingen worden door cloudcomputing en nieuwe apparaten steeds omvangrijker. Dat geeft criminelen meer om op te schieten, en daarmee meer mogelijkheden om zwakheden te ontdekken. Maar het geeft ze bovenal een manier om dieper tot de ICT-omgeving door te dringen.
Dat hebben zij ook nodig. Omdat omgevingen steeds gedistribueerder zijn, is het voor hen meestal niet voldoende om slechts toegang te verkrijgen tot een enkel systeem. Losgeld kunnen ze pas eisen als ze meerdere kritieke systemen tegelijkertijd weten te infecteren.
Wapens in 2020
Deze realiteit vraagt dan ook meer van de criminelen. Het hacken van één systeem kan namelijk al uitdagend zijn, laat staan een complete omgeving. De doorzetters hebben daarvoor echter meerdere wapens tot hun beschikking. In het SophosLabs 2020 Threat Report worden onder andere deze drie methoden aangehaald:
- Automated active attacks
De zogenaamde automated active attack, oftewel de geautomatiseerde actieve aanval, was in 2019 een prominente aanvalsmethode. Hierbij gebruikt de hacker geautomatiseerde tools om een zwakheid te vinden in een van de desktops. Maar bij succes voert de hacker de malware nog niet uit. Hij neemt eerst handmatig de controle over het apparaat. Vervolgens zet hij standaardnetwerktools als Windows PowerShell en Windows Management Instrumentation (WMI) in om de malware over het hele netwerk te verspreiden. - Zwakheden in het Remote Desktop Protocol
Geautomatiseerde tools van eigen makelij waren in 2019 niet de enige manier voor cybercriminelen om hun plannen uit te voeren. Ze zoeken steeds actiever naar systemen waar het Remote Desktop Protocol actief luistert naar inkomende verbindingen. Een honeypot van Sophos lokte in het voorjaar maar liefst 3 miljoen inlogpogingen in dertig dagen uit. Het ging daarbij nadrukkelijk niet om ‘onschuldige’ scans van openstaande poorten, maar om echte pogingen. De les voor ICT-beheerders is duidelijk: geen enkel apparaat mag een uitje buiten de firewall maken om naar inkomende RDP-verbindingen te luisteren. - Misbruik van gebrekkige cloudsecurity
Organisaties aarzelen steeds minder om hun data naar de cloud over te zetten. Hier is op zich niets mis mee, als ze de cloudomgeving maar afdoende beveiligen. Kleine foutjes kunnen namelijk grote gevolgen hebben.
Een voorbeeld hiervan is ontoereikend wachtwoordbeheer. In het Threat Report schetst Sophos een scenario waarbij een cybercrimineel het wachtwoord van een medewerker weet te achterhalen. Het blijkt echter dat leden van het ontwikkelingsteam hetzelfde wachtwoord gebruiken, waardoor de hacker toegang heeft tot de repository in de cloudomgeving. Niet alleen steelt de crimineel de gegevens, ook zorgt hij voor extra schade door een bitcoinminer te installeren. Het bedrijf moet betalen voor de rekenkracht, terwijl de crimineel casht.
Flinke kluif
De professionalisering van cybercriminaliteit zet in 2020 door. De keiharde cybercrimewereld scheidt intern het kaf van het koren. Maar hoewel er door dit securitydarwinisme steeds minder kwaadwillende hackers zijn, beschikken deze wel over genoeg middelen en kennis om serieuze schade te veroorzaken. Beheerders krijgen daar in 2020 nog een flinke kluif aan.
Daarbij kunnen ze zoals altijd rekenen op de producten en diensten Sophos. Of het nu gaat om het detecteren van dreigingen in de public cloud met Cloud Optix, of het beschermen van endpoints met behulp van het geavanceerde Intercept X dat gebruikmaakt van kunstmatige intelligentie.
Meer weten over hoe u met de oplossingen van Sophos cybercriminelen buiten de deur houdt? Neem dan contact met ons op.