Geautomatiseerde cyberaanvallen nemen toe

"Ons nieuwste Global Threat Landscape Report laat duidelijk zien dat cybercriminelen AI en automatisering inzetten om hun aanvallen met een ongekende snelheid en omvang te versnellen", aldus Derek Manky, vice president Global Threat Research en Cybersecurity Strategy bij FortiGuard Labs. "Traditionele beveiligingshandboeken zijn niet langer voldoende. Organisaties zullen snel moeten overschakelen naar een proactieve verdedigingsstrategie die AI, zero trust en continu dreigingsbeheer combineert om aanvallers voor te blijven in het snel veranderende dreigingslandschap van vandaag."

Opvallend is dat geautomatiseerd scannen ongekend populair is, omdat aanvallers proberen om blootgestelde doelen vroegtijdig te identificeren. Om te profiteren van nieuw ontdekte kwetsbaarheden, zetten cybercriminelen wereldwijd geautomatiseerd scannen in. FortiGuard Labs observeerde en registreerde miljarden scans per maand, wat neerkomt op 36.000 scans per seconde. Dit wijst erop dat aanvallers zich sterk richten op het in kaart brengen van blootgestelde services zoals SIP en RDP en OT/IoT-protocollen zoals Modbus TCP.

De opkomst van het darknet heeft de toegang tot kant-en-klare aanvalskits vergemakkelijkt. In 2024 begonnen cybercriminele fora steeds meer te fungeren als marktplaatsen voor exploitkits, met meer dan 40.000 nieuwe kwetsbaarheden toegevoegd aan de National Vulnerability Database, een stijging van 39% ten opzichte van 2023.

Naast de zero-day kwetsbaarheden die op het darknet circuleren, bieden brokers steeds vaker bedrijfsreferenties (20%), RDP-toegang op afstand (19%), beheerconsoles (13%) en webshells (12%) aan. Met name FortiGuard Labs heeft het afgelopen jaar een toename van 500% gezien in het aantal beschikbare logs van systemen die zijn gecompromitteerd door malware voor diefstal van inloggegevens, met 1,7 miljard gestolen inloggegevens die op deze ondergrondse forums zijn gedeeld.

Cybercriminaliteit op basis van AI breidt zich snel uit. Cybersecurity-actoren maken gebruik van AI om de authenticiteit van hun fraude te vergroten en traditionele beveiligingsmaatregelen te omzeilen. Dit maakt cyberaanvallen effectiever en moeilijker te detecteren. Tools zoals FraudGPT, BlackmailerV3 en ElevenLabs maken aanvalscampagnes schaalbaarder, betrouwbaarder en effectiever, zonder de beperkingen van beschikbare AI-tools.

Gerichte aanvallen op kritieke sectoren nemen toe. Sectoren zoals de maakindustrie, gezondheidszorg en financiële dienstverlening zien steeds meer cyberaanvallen op maat, waarbij specifieke exploits specifiek voor elke sector worden gepland en ingezet.

In 2024 zullen de sectoren die het meest doelwit zijn de maakindustrie (17%), zakelijke dienstverlening (11%), bouw (9%) en detailhandel (9%). Nationale actoren en Ransomware-as-a-Service (RaaS)-syndicaten zullen hun inspanningen op deze sectoren richten. De Verenigde Staten worden het zwaarst getroffen door deze aanvallen (61%), gevolgd door het Verenigd Koninkrijk (6%) en Canada (5%).

De beveiligingsrisico's voor cloud en IoT nemen toe. Cloudcomputingomgevingen blijven een belangrijk doelwit, waarbij aanvallers voortdurend misbruik maken van zwakke plekken zoals open opslagservices, overgeprovisioneerde identiteiten en verkeerd geconfigureerde services. In 70% van de waargenomen incidenten kregen aanvallers toegang via inloggegevens van onbekende locaties, wat het belang van identiteitsbewaking in cloudbeveiliging onderstreept.

Inloggegevens zijn de valuta van cybercriminelen. In 2024 deelden cybercriminelen meer dan 100 miljard gecompromitteerde gegevens op ondergrondse fora, een stijging van 42% ten opzichte van het voorgaande jaar. Dit werd grotendeels veroorzaakt door de opkomst van 'mixlijsten' met gestolen gebruikersnamen, wachtwoorden en e-mailadressen. Meer dan de helft van de berichten op het darknet had betrekking op gelekte databases, waardoor aanvallers grootschalige aanvallen met credential stuffing konden automatiseren.

Bekende cybercriminele groepen als BestCombo, BloddyMery en ValidMail behoorden in deze periode tot de actiefste groepen. Ze verlaagden de toetredingsdrempel nog verder door pakketten aan te bieden op basis van inloggegevens. Dit leidde tot een toename van accountovernames, financiële fraude en bedrijfsspionage.

Gezien de bovenstaande situatie biedt het rapport aanbevelingen voor beveiligingsverdediging voor CISO's. Hierbij wordt de nadruk gelegd op een aantal strategische gebieden waarop de aandacht moet worden gericht, zoals:

Van traditionele bedreigingsdetectie naar 'Continu beheer van blootstelling aan bedreigingen' – Deze proactieve aanpak richt zich op continu beheer van het aanvalsoppervlak, het simuleren van het gedrag van tegenstanders in de echte wereld , het prioriteren van op risico's gebaseerde oplossingen en het automatiseren van detectie- en verdedigingsreacties.

Simuleer aanvallen in de echte wereld – Voer simulatieoefeningen met tegenstanders uit, stel Red & Purple-teams samen en maak gebruik van MITRE ATT&CK om verdedigingsmechanismen tegen bedreigingen zoals ransomware en spionagecampagnes te testen.

Verklein het aanvalsoppervlak – Implementeer hulpmiddelen voor aanvalsoppervlakbeheer (ASM) om blootgestelde activa, gelekte inloggegevens en misbruikbare kwetsbaarheden te detecteren en houd tegelijkertijd darknetforums continu in de gaten op nieuwe bedreigingen.

Geef prioriteit aan kwetsbaarheden met een hoog risico: concentreer de herstelwerkzaamheden op kwetsbaarheden die actief worden besproken door cybercriminele groepen en maak gebruik van op risico's gebaseerde prioriteringsinformatie zoals EPSS en CVSS om patches effectief te beheren.

Maak gebruik van Dark Web-informatie: houd de darknetmarkten in de gaten voor opkomende ransomwarediensten en houd toezicht op gecoördineerde hackersactiviteiten om bedreigingen zoals DDoS- en website-defacementaanvallen te beperken.

Bron: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243