FortiGuard Labs signaleert minder ransomware, wel meer gerichte aanvallen met grotere impact

Fortinet heeft zijn laatste editie van zijn halfjaarlijkse Global Threat Landscape Report van FortiGuard Labs gepubliceerd. In de eerste helft van 2023 constateerde FortiGuard Labs een afname van het aantal organisaties die ransomware detecteerden, significante activiteit van advanced persistent threat (APT)-groepen en een verschuiving in de MITRE ATT&CK-technieken die cybercriminelen gebruiken. Een volledige analyse hiervan is te vinden in het 1H 2023 Global Threat Landscape Report.

Organisaties worden nog altijd in de verdediging gedwongen door de groeiende vindingrijkheid van cybercriminelen en een stortvloed aan gerichte cyberaanvallen. Het 1H 2023 Global Threat Landscape Report reikt waardevolle informatie aan die kan dienen als vroegtijdig waarschuwingsysteem voor cyberbedreigingen. Security-managers kunnen op die manier de juiste prioriteiten stellen voor hun beveiligingsstrategie en patchingactiviteiten. Belangrijke onderzoeksbevindingen zijn onder meer:

Het aantal organisaties dat ransomware detecteert neemt af: FortiGuard Labs heeft de afgelopen jaren gewezen op een forse opleving van het aantal ransomware-varianten. Deze toename wordt voor een belangrijk deel veroorzaakt door de opkomst van Ransomware-as-a-Service (RaaS). FortiGuard Labs merkte echter dat minder organisaties in het eerste halfjaar van 2023 ransomware detecteerden (13%) dan in dezelfde periode vijf jaar geleden (22%). Ondanks deze afname moeten organisaties waakzaam blijven. Dit bevestigt de trend die FortiGuard Labs de afgelopen jaren signaleerde, namelijk dat ransomware-aanvallen en andere cyberaanvallen een steeds gerichter karakter krijgen. Dit is te wijten aan de toenemende vindingrijkheid van cybercriminelen en hun wens om hun return on investment (ROI) per aanval op te voeren. Daarnaast blijft het aantal ransomware-detecties sterke schommelingen vertonen. Zo werd het eerste halfjaar van 2023 afgesloten met 13 keer meer detecties dan aan het einde van 2022. Dit aantal blijft echter een neerwaartse trend vertonen in vergelijking met heel 2022.

Cybercriminelen maken vallen met 327 keer grotere waarschijnlijkheid binnen zeven dagen na publicatie kwetsbaarheden met de hoogste EPPS-scores aan: Fortinet heeft van meet af aan belangrijke data over misbruik van kwetsbaarheden (exploits) aangeleverd ten behoeve van het Exploit Prediction Scoring System (EPSS). Dit initiatief maakt gebruik van informatie uit een veelheid aan bronnen om de kans te voorspellen dat een bepaalde kwetsbaarheid wordt misbruikt. FortiGuard Labs analyseerde data voor een periode van zes jaar die ruim 11.000 gepubliceerde kwetsbaarheden en detecties van exploits besloeg. Hieruit bleek dat common vulnerabilities & exposures (CVE’s) met een hoge EPSS-score (de top 1% qua ernst) met 327 keer grotere waarschijnlijkheid binnen zeven dagen na publicatie worden misbruikt. Deze unieke analyse biedt CISO’s en security-teams een vroegtijdige indicatie van gerichte aanvallen op hun organisatie. Net zoals de Red Zone die in het vorige Threat Landscape Report werd geïntroduceerd kan deze informatie security-teams helpen om hun patchingactiviteiten systematisch op prioriteit in te delen om de risico’s voor hun organisatie tot een minimum te beperken.

De Red Zone helpt CISO’s met de prioriteitstelling voor patching: De analyse de prioriteitstelling FortiGuard Labs exploits van EPSS-kwetsbaarheden vormt een aanvulling op zijn inspanningen voor het definiëren van de Red Zone. Deze term verwijst naar het percentage kwetsbaarheden op endpoints dat actief wordt aangevallen. In de tweede helft van 2022 vertegenwoordigde de Red Zone ongeveer 8,9% van alle kwetsbaarheden. Dat betekent dat circa 1.500 van de ruim 16.500 bekende CVE’s werden aangevallen. In de eerste helft van 2023 daalde dit percentage lichtelijk tot 8,3%. De verschillen tussen de tweede helft van 2022 en de eerste helft van 2023 zijn minimaal. De Red Zone lijkt daarmee de ‘sweet spot’ te zijn voor cybercriminelen die hun pijlen richten op kwetsbaarheden op endpoints. Hierbij moet worden aangetekend dat het aantal kwetsbaarheden dat wordt ontdekt, op endpoints aanwezig is en wordt misbruikt voortdurend fluctueert. Deze variabelen en een effectieve strategie voor patchbeheer kunnen de Red Zone aanzienlijk verkleinen. FortiGuard Labs blijft investeren in effectieve manieren om organisaties te helpen met het op prioriteit indelen van kwetsbaarheden, zodat ze beveiligingslekken snel kunnen dichten.

Bijna een derde van alle APT-groepen was in het eerste halfjaar van 2023 actief: Voor de eerste keer in de geschiedenis van het Global Threat Landscape Report bracht FortiGuard Labs het aantal cybercriminelen achter trends in kaart. Het bleek dat 41 (30%) van de 138 cybercriminele groeperingen die door MITRE worden gevolgd in het eerste halfjaar van 2023 actief waren. Turla, StrongPity, Winnti, OceanLotus en WildNeutron waren het meest actief gemeten naar het aantal malwaredetecties. De aanvalscampagnes van APT-groepen en staatshackers zijn gerichter en relatief kortstondig in vergelijking met die van andere categorieën cybercriminelen.

Een vergelijking over een periode van vijf jaar wijst op een explosieve groei van exploits, malware-varianten en botnets

• Unieke exploits beleven een opmars: In de eerste helft van 2023 detecteerde FortiGuard Labs ruim 10.000 unieke exploits. Dat is 68% meer dan vijf jaar geleden. Deze detectiepiek geeft blijk van het enorme aantal cyberaanvallen waarop security-teams beducht moeten zijn en het feit dat deze aanvallen zich in relatief korte tijd vermenigvuldigen en nieuwe vormen aannemen. Het rapport wijst daarnaast op een afname van het aantal exploitpogingen per organisatie met ruim 75% in vijf jaar tijd en een afname van 10% van het aantal ernstige exploits. Dit doet vermoeden dat cybercriminelen hun toolkits niet alleen hebben uitgebreid, maar dat hun cyberaanvallen ook een veel gerichter karakter hebben dan vijf jaar geleden.
• Malware-families en -varianten vertoonden een explosieve groei met respectievelijk 135% en 175%: Een andere opmerkelijke onderzoeksbevinding is dat het aantal malware-families dat hun weg vond naar minimaal 10% van alle wereldwijde organisaties de afgelopen vijf jaar is verdubbeld. Dit kwam omdat meer cybercriminelen en APT-groepen hun activiteiten hebben uitgebreid en hun aanvallen op nieuwe manieren vormgeven. Een belangrijk aandachtspunt in het laatste Global Threat Landscape-rapport was de toename van wiper-malware, die voornamelijk terug te voeren was op het conflict tussen Rusland en Oekraïne. Deze toename hield in heel 2022 aan, maar zwakte in de eerste helft van 2023 af. FortiGuard Labs merkt dat wipers nog altijd door staatshackers worden gebruikt, maar dat ook steeds meer cybercriminelen dat doen voor hun aanvallen op IT-bedrijven, productiebedrijven, overheidsinstellingen, telecombedrijven en zorginstellingen.
• Bots blijven langer dan ooit in netwerken aanwezig: Het rapport wijst op een toename van het aantal actieve botnets (+27%) en een sterkere aanwezigheid van botnets binnen organisaties (+126%) in de afgelopen vijf jaar. Nog schokkender is de exponentiële groei van het aantal ‘actieve dagen’. FortiGuard Labs definieert dit als de tijd die verstrijkt tussen de eerste en laatste keer dat een botnet een beveiligingssensor aftast. In het eerste halfjaar van 2023 duurde het gemiddeld 83 dagen voordat de communicatie tussen bots en hun command and control (C2)-server werd verbroken. Dit is duizend keer langer dan vijf jaar geleden en wijst eens temeer op het belang van snelle incidentrespons. Want hoe langer organisaties bots binnen hun netwerk toelaten, hoe groter de schade en risico’s voor hun onderneming.

Het aanpakken van cybercriminaliteit vraagt om een holistische aanpak

De bijdragen die FortiGuard Labs de afgelopen tien jaar aan de threat intelligence-gemeenschap leverde hebben een enorme wereldwijde impact gehad. Ze hielpen klanten, partners en overheidsinstellingen met het verbeteren van hun beveiliging en het bestrijden van cybercriminaliteit. Het elimineren van silo’s en opvoeren van de kwaliteit van bedreigingsinformatie helpt organisaties om beveiligingsrisico’s terug te dringen en vergroot de slagkracht van de security-sector. Beveiligingsprofessionals beschikken inmiddels over de tools, kennis en ondersteuning die nodig zijn om cybercriminelen het vuur aan de schenen te leggen. De sectorbrede toewijding aan samenwerking en het delen van bedreigingsinformatie zal leiden tot een breder ecosysteem voor de bestrijding van cybercriminaliteit, zodat de sector de overhand krijgt op cybercriminelen.

Als leider in zakelijke cybersecurity en netwerkinnovatie beschermt Fortinet wereldwijd ruim een half miljoen organisaties, waaronder multinationals, dienstverleners en overheidsinstellingen. Fortinet blijft artificial intelligence (AI)-oplossingen voor nieuwe beveiligingstoepassingen ontwikkelen. Deze worden ingezet binnen FortiGuard Labs en zijn complete productaanbod. Dit draagt bij aan snellere preventie, detectie en incidentrespons voor bekende en nieuwe cyberbedreigingen.

Zo worden de door AI ondersteunde security services van FortiGuard gebruikt door beveiligingsmechanismen voor endpoints en applicaties binnen het complete bedrijfsnetwerk en alle cloudomgevingen. Speciaal ontwikkelde technologieën voor detectie en incidentrespons die gebruikmaken van AI-engines en cloudgebaseerde analysemogelijkheden (waaronder EDR en NDR) kunnen eveneens met deze beveiligingsmechanismen worden geïntegreerd. Fortinet biedt daarnaast tools aan voor incidentrespons vanaf een centrale locatie, zoals XDR, SIEM, SOAR en DRPS. Deze maken gebruik van AI, automatiseringsmogelijkheden en orchestration om cyberbedreigingen sneller te kunnen verhelpen. Al deze oplossingen weren cybercriminelen uit het bedrijfsbrede aanvalsoppervlak.

Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs: “Het aanpakken van cybercriminelen vraagt om een wereldwijde inspanning en sterke vertrouwensbanden en samenwerking tussen de publieke en private sector. Er zijn ook investeringen nodig in door AI ondersteunende beveiligingsdiensten die overbezette security-teams helpen om real-time bedreigingsinformatie op gecoördineerde wijze toe te passen binnen de hele organisatie. Security-teams kunnen zich niet permitteren om werkeloos toe te kijken terwijl het aantal gerichte cyberaanvallen een recordhoogte bereikt. FortiGuard Labs, de onderzoeksdivisie van Fortinet, blijft voorzien in innovatieve en praktisch toepasbare threat intelligence zoals de Red Zone en analyses op basis van het nieuwe Exploit Prediction Scoring System. Security-teams kunnen op die manier proactief prioriteiten stellen voor het patchen van kwetsbaarheden en sneller dan ooit op cyberbedreigingen reageren.”

Een overzicht van het rapport
Het Global Threat Landscape Report is gebaseerd op informatie over miljarden beveiligingsincidenten die FortiGuard Labs in de eerste helft van 2023 verzamelde via het wereldwijde sensornetwerk van Fortinet. Het rapport maakt gebruik van het MITRE ATT&CK-framework om te beschrijven hoe cybercriminelen kwetsbaarheden vinden, een kwaadaardige infrastructuur inrichten en misbruik maken van de kwetsbaarheden binnen de systemen van hun doelwit.

Aanvullende informatie

• Lees het blog voor waardevolle aanbevelingen naar aanleiding van dit onderzoek of raadpleeg het volledige rapport.
• Lees meer over de bedreigingsinformatie en het onderzoek van FortiGuard Labs en Outbreak Alerts, een dienst die maatregelen aanreikt voor het bieden van bescherming tegen de laatste cyberbedreigingen.
• Kom meer te weten over het aanbod van security services van FortiGuard.
• Kom meer te weten over de gratis beveiligingstraining van Fortinet, waaronder uitgebreide security awareness-training en producttraining. In aansluiting op de Fortinet Training Advancement Agenda (TAA) biedt het Fortinet Training Institute training en certificering aan op basis van de programma’s Network Security Expert (NSE) Certification, Academic Partner en Education Outreach.
• Lees hoe klanten van Fortinet hun organisatie veilig houden.
• Volg Fortinet op Twitter, LinkedIn, Facebook en Instagram en via zijn blog en YouTube-kanaal.