Microsoft: Russische cyberaanvallen vormen groter risico voor overheid

11-10-2021 | door: Redactie

Microsoft: Russische cyberaanvallen vormen groter risico voor overheid

Het afgelopen jaar kwam 58% van alle door Microsoft waargenomen cyberaanvallen vanuit natiestaten uit Rusland. En aanvallen van Russische natiestaten worden steeds effectiever, van een succesvol compromispercentage van 21% vorig jaar naar een percentage van 32% dit jaar. Dit meldt Microsoft in zijn Microsoft Digital Defense Report.

Microsoft meldt op zijn website in een blog namens Tom Burt, Vice President Customer Trust and Security het volgende:

Russische natiestatelijke actoren richten zich steeds meer op overheidsinstanties voor het verzamelen van inlichtingen, die van 3% van hun doelwitten een jaar geleden zijn gestegen naar 53% - grotendeels instanties die betrokken zijn bij buitenlands beleid, nationale veiligheid of defensie. De top drie van landen die het doelwit waren van Russische natiestaten waren de Verenigde Staten, Oekraïne en het VK.

Dit zijn slechts enkele van de inzichten in het tweede jaarlijkse Microsoft Digital Defense Report, dat we vandaag hebben uitgebracht en hier gratis kunnen worden bekeken . Het Microsoft Digital Defense Report bestrijkt de periode van juli 2020 tot juni 2021, en de bevindingen hebben betrekking op trends op het gebied van nationale activiteiten, cybercriminaliteit, beveiliging van de toeleveringsketen, hybride werk en desinformatie.

Rusland is niet de enige natiestaat die zijn aanpak ontwikkelt, en spionage is niet het enige doel voor natiestaataanvallen dit jaar.

Na Rusland kwam het grootste aantal aanvallen dat we hebben waargenomen uit Noord-Korea, Iran en China; Zuid-Korea, Turkije (een nieuwkomer in onze rapportage) en Vietnam waren ook actief, maar vertegenwoordigen veel minder volume.

Hoewel spionage het meest voorkomende doel is voor aanvallen van natiestaten, onthullen sommige aanvallersactiviteiten andere doelen, waaronder:

Iran, dat het afgelopen jaar zijn doelwitten op Israël verviervoudigde en verwoestende aanvallen lanceerde onder verhoogde spanningen tussen de twee landen

Noord-Korea, dat zich richtte op cryptocurrency-bedrijven voor winst toen zijn economie werd gedecimeerd door sancties en Covid-19
21% van de aanvallen die we hebben waargenomen bij nationale actoren was gericht op consumenten en 79% op ondernemingen, met als meest gerichte sectoren de overheid (48%), ngo's en denktanks (31%), onderwijs (3%), intergouvernementele organisaties (3% ), IT (2%), energie (1%) en media (1%).

Hoewel China niet uniek is in het verzamelen van informatie, is het opmerkelijk dat verschillende Chinese actoren een reeks voorheen niet-geïdentificeerde kwetsbaarheden hebben gebruikt. HAFNIUM- aanvallen gericht op on-premises Exchange-servers zijn veel gepubliceerd, maar naast de zero-day-kwetsbaarheid die bij die aanvallen werd gebruikt, heeft Microsoft eerder dit jaar een Pulse Secure VPN- zeroday en een SolarWinds-zeroday gedetecteerd en gerapporteerd , beide worden misbruikt door Chinese acteurs.

China gebruikt zijn inlichtingenvergaring ook voor verschillende doeleinden. Een Chinese acteur, CHROMIUM, heeft zich gericht op entiteiten in India, Maleisië, Mongolië, Pakistan en Thailand om sociale, economische en politieke informatie over zijn buurlanden te verzamelen. Een andere Chinese acteur, NICKEL, heeft zich gericht op ministeries van Buitenlandse Zaken in Midden- en Zuid-Amerika en Europa. Naarmate de invloed van China verschuift met het Belt and Road Initiative van het land, verwachten we dat deze actoren het verzamelen van cyberinformatie zullen blijven gebruiken voor inzicht in investeringen, onderhandelingen en invloed. Tot slot zijn Chinese acteurs opmerkelijk volhardend; zelfs nadat we het hebben onthuld China's pogingen om inlichtingen te verzamelen tegen personen die betrokken waren bij de verkiezingen van 2020, zijn acteur ZIRCONIUM zette zijn activiteiten voort tijdens de verkiezingsdag.

In totaal hebben we klanten de afgelopen drie jaar 20.500 keer geïnformeerd over pogingen van alle nationale actoren om hun systemen te doorbreken. Voor alle duidelijkheid: Microsoft observeert niet elke wereldwijde cyberaanval. We hebben bijvoorbeeld beperkt zicht op aanvallen gericht op on-premises systemen die organisaties zelf beheren, zoals de Exchange Server- aanvallen eerder dit jaar, en aanvallen gericht op klanten van andere technologieleveranciers. We zijn van mening dat het delen van de gegevens die we over deze bedreigingen hebben, nuttig is voor klanten, beleidsmakers en de bredere beveiligingsgemeenschap, en we nodigen anderen uit om te delen wat ze zien met hun zichtbaarheid. Het goede nieuws is dat ons inzicht in bedreigingen en ons vermogen om ze te helpen stoppen, zal blijven groeien naarmate meer organisaties naar de cloud verhuizen.

Cybercriminaliteit – vooral ransomware – blijft een ernstige en groeiende plaag, zoals blijkt uit het Microsoft Digital Defense Report van dit jaar. Maar terwijl nationale actoren zich vooral richten op slachtoffers met nuttige informatie, richten cybercriminelen zich op slachtoffers met geld. Hierdoor hebben de targets vaak een ander profiel. Cybercrime-aanvallen op kritieke infrastructuur, zoals de ransomware-aanval op Colonial Pipeline, halen vaak de krantenkoppen. De vijf belangrijkste sectoren waarop het afgelopen jaar is gericht op basis van ransomware-activiteiten door ons Detection and Response Team (DART), zijn consumentendetailhandel (13%), financiële dienstverlening (12%), productie (12%), overheid (11%) en gezondheidszorg (9%). De Verenigde Staten zijn verreweg het meest aangevallen land en ontvangen meer dan het drievoudige van de ransomware-aanvallen van het volgende meest aangevallen land. De VS wordt gevolgd door China,

In het afgelopen jaar is de 'cybercrime-as-a-service'-economie overgegaan van een ontluikende maar snelgroeiende industrie naar een volwassen criminele onderneming. Tegenwoordig heeft iedereen, ongeacht technische kennis, toegang tot een robuuste online marktplaats om het scala aan services te kopen dat nodig is om aanvallen voor elk doel uit te voeren. De marktplaats heeft drie componenten. Ten eerste, naarmate de vraag is toegenomen, richten criminelen zich steeds meer op het specialiseren in gedifferentieerde kant-en-klare infectiekits en het vergroten van het gebruik van automatisering, het verlagen van hun kosten en het vergroten van hun schaal. We hebben kits gezien die voor slechts $ 66 worden verkocht. Ten tweede leveren afzonderlijke leveranciers gecompromitteerde inloggegevens die nodig zijn om toegang te krijgen tot de systemen van mensen en de kits te implementeren. We hebben gezien dat referenties van $ 1 tot $ 50 per stuk verkochten, afhankelijk van de waargenomen waarde van het doelwit. Derde, cryptocurrency escrow-services dienen als makelaars tussen kopers en verkopers om ervoor te zorgen dat de kits en inloggegevens presteren zoals aangeboden. We zijn ook begonnen met het identificeren van geavanceerde kits die niet alleen slachtoffergegevens verstrekken aan de crimineel die de kit heeft gekocht en ingezet, maar ook in het geheim de gegevens verstrekken aan de entiteit die de kit heeft gemaakt.

Ransomware blijft een van de grootste cybercriminaliteitsbedreigingen en is het afgelopen jaar blijven evolueren om meer ontwrichtend te worden. In plaats van zich te concentreren op geautomatiseerde aanvallen die afhankelijk zijn van volume en gemakkelijk te betalen lage eisen om winst te genereren, gebruikt door mensen bediende ransomware intelligentie die is verkregen uit online bronnen, het stelen en bestuderen van de financiële en verzekeringsdocumenten van een slachtoffer en het onderzoeken van gecompromitteerde netwerken om doelen te selecteren en veel hoger in te stellen losgeld eisen.

Terugvechten in een hybride werkomgeving

Naarmate online bedreigingen toenemen in volume, verfijning en impact, moeten we allemaal stappen ondernemen om de eerste verdedigingslinie te versterken. Het toepassen van fundamentele hygiëne op het gebied van cyberbeveiliging, zoals tanden poetsen om gaatjes te voorkomen of uw veiligheidsgordel omdoen om uw leven te beschermen, zijn basisstappen die we allemaal moeten nemen.

Minder dan 20% van onze klanten gebruikt sterke authenticatiefuncties zoals multifactor authenticatie of MFA. We bieden dit gratis aan en organisaties kunnen het standaard inschakelen voor hun gebruikers. Als organisaties gewoon MFA zouden toepassen, anti-malware zouden gebruiken en hun systemen up-to-date zouden houden, zouden ze beschermd zijn tegen meer dan 99% van de aanvallen die we tegenwoordig zien.

Natuurlijk spelen technologiebedrijven zoals Microsoft een belangrijke rol bij het ontwikkelen van veilige software, het ontwikkelen van geavanceerde cyberbeveiligingsproducten en -services voor klanten die ze willen inzetten, en het detecteren en stoppen van bedreigingen. Maar organisaties die basismaatregelen nemen om zichzelf te beschermen, gaan verder dan de meest geavanceerde stappen die technologiebedrijven en overheden kunnen nemen om hen te beschermen. Het goede nieuws is dat we in de afgelopen 18 maanden een toename van 220% hebben gezien in het gebruik van sterke authenticatie, omdat bedrijven hebben nagedacht over het vergroten van hun beveiligingshouding in een externe werkomgeving. Het slechte nieuws is dat we nog een lange weg te gaan hebben. Een deel van de oplossing moet bestaan uit het opleiden van meer cyberbeveiligingsprofessionals die organisaties van alle soorten kunnen helpen veilig te blijven,

Er zijn drie trends die ons ook hoop geven.

Ten eerste heeft de Amerikaanse regering ongekende stappen genomen om cyberbeveiliging aan te pakken met behulp van wetten en autoriteit die al in de boeken staan. De in mei aangekondigde Executive Order heeft een lange weg afgelegd om de Amerikaanse federale regering en degenen waarmee zij samenwerkt veiliger te maken, en het leiderschap van het Witte Huis in de samenwerking met de particuliere sector te midden van de Exchange Server-aanvallen door HAFNIUM eerder dit jaar een nieuwe standaard voor incidentgerelateerde samenwerking.

Ten tweede introduceren en voeren overheden over de hele wereld nieuwe wetten in die zaken als verplichte rapportage vereisen wanneer organisaties cyberaanvallen ontdekken, zodat de juiste overheidsinstanties een idee hebben van de omvang van het probleem en incidenten kunnen onderzoeken met hun middelen.

Ten derde treden zowel overheden als bedrijven vrijwillig naar voren als ze het slachtoffer zijn van aanvallen. Deze transparantie helpt iedereen het probleem beter te begrijpen en maakt een grotere betrokkenheid van de overheid en eerstehulpverleners mogelijk.

De trends zijn duidelijk: natiestaten maken steeds meer gebruik van cyberaanvallen en zullen dat blijven doen voor wat hun politieke doelstellingen ook zijn, of dat nu spionage, ontwrichting of vernietiging is. We verwachten dat meer landen zullen toetreden tot de lijst van degenen die zich bezighouden met offensieve cyberoperaties, en dat die operaties brutaler, hardnekkiger en schadelijker zullen worden, tenzij er ernstigere gevolgen zijn. En de markt voor cybercriminaliteit zal steeds geavanceerder en gespecialiseerder worden, tenzij we allemaal ons werk ontwikkelen om ze te stoppen. Er wordt meer dan ooit gewerkt aan het wegnemen van deze zorgen, maar we zullen ervoor moeten zorgen dat ze de komende jaren bovenaan de nationale en internationale agenda's blijven staan.

 

Terug naar nieuws overzicht
Security