Trace Id is missing

Jaaroverzicht van Bedreigingsinformatie in 2023: Belangrijke inzichten en ontwikkelingen

Deel
Rode cirkels in de lucht

Het was een ongelofelijk jaar voor Microsoft Bedreigingsinformatie. Alleen al het volume bedreigingen en aanvallen die werden onthuld via de meer dan 65 biljoen signalen die we dagelijks observeren, heeft ons veel buigpunten gegeven. Vooral omdat we een verschuiving waarnemen in de manier waarop bedreigingsactoren schalen en gebruikmaken van ondersteuning door natiestaten. In het afgelopen jaar waren er meer aanvallen dan ooit tevoren, en de aanvalsketens worden met de dag complexer. Verblijftijden zijn ingekort. Tactieken, technieken en procedures (TTP's) hebben zich ontwikkeld zodat ze wendbaarder en ongrijpbaarder van aard zijn. Terugkijken naar de details van deze incidenten helpt ons de patronen te zien, zodat we kunnen bepalen hoe we moeten reageren op nieuwe bedreigingen en kunnen anticiperen in welke richting ze zich hierna verplaatsen. Onze beoordeling van de TTP's van 2023 is erop gericht om een uitgebreid overzicht te bieden van het bedreigingsinformatielandschap via wat we hebben waargenomen in incidenten wereldwijd. Hier volgen enkele hoogtepunten die ik en Sherrod DeGrippo met je willen delen, samen met enkele videofragmenten van ons gesprek tijdens Ignite 2023.

John Lambert,
Microsoft Corporate Vice President and Security Fellow

Naamgevingstaxonomie voor bedreigingsactoren

In 2023 is de naamgevingstaxonomie van Microsoft vernieuwd. Bedreigingsactoren krijgen nu een naam op basis van aan het weer gekoppelde thema's die (1) beter passen bij de toenemende complexiteit, de toenemende schaal en het toenemend volume van moderne bedreigingen en (2) een beter georganiseerde, beter te onthouden en eenvoudigere manier bieden om naar vijandige groepen te verwijzen.1

Microsoft categoriseert bedreigingsactoren in vijf belangrijke groepen:

Beïnvloedingsoperaties van natiestaten: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

In onze nieuwe taxonomie staat een weergebeurtenis of een familienaam voor een van de bovenstaande categorieën. Bedreigingsactoren binnen dezelfde weerfamilie krijgen een bijvoeglijk naamwoord om verschillende groepen te onderscheiden. Als een groep nog in ontwikkeling is, krijgt deze een nummer bestaande uit vier cijfers.

Trends in 2023 op het gebied van tactieken, technieken en procedures (TTP's)

Aangepaste hulpprogramma's en malware vermijden

Groepen bedreigingsactoren die onzichtbaarheid benadrukken, hebben selectief het gebruik van aangepaste malware vermeden. In plaats daarvan gebruiken ze hulpprogramma's en processen die bestaan op het apparaat van hun slachtoffer om zichzelf te verhullen, naast andere bedreigingsactoren die soortgelijke methoden gebruiken om aanvallen te lanceren. 2

John Lambert, Microsoft Corporate Vice President and Security Fellow, reageert kort op de manier waarop bedreigingsactoren opzichtige aangepaste hulpprogramma's vermijden om onzichtbaar te blijven. Bekijk de video hieronder:

Cyber- en beïnvloedingsoperaties combineren

Gedurende de zomer heeft Microsoft bepaalde nation-state actoren waargenomen die de methoden van cyberoperaties en beïnvloedingsoperaties combineren in een nieuwe hybride variant die we 'cyberbeïnvloedingsoperaties' noemen. Deze nieuwe tactiek helpt actoren om tekortkomingen in hun netwerktoegang of in hun mogelijkheden voor cyberaanvallen een boost te geven, aan te dikken of te compenseren. 3 Cybermethoden zijn onder andere tactieken zoals gegevensdiefstal, 'defacing' (bekladding), DDoS en ransomware in combinatie met beïnvloedingsmethoden zoals gegevenslekken, sokpoppen, het imiteren van slachtoffers, sociale media en communicatie per sms/e-mail.
Webvriendelijke matrix van cyber- en beïnvloedingsmethoden

Edge-apparaten van netwerken van kleine kantoren en thuiskantoren compromitteren

Bedreigingsactoren richten geheime netwerken op tussen edge-apparaten van kleine kantoren en thuiskantoren. Ze gebruiken zelfs programma's die ze helpen bij het vinden van kwetsbare eindpunten wereldwijd. Deze techniek compliceert toekenning, waardoor aanvallen vanaf vrijwel overal lijken te komen.4

In deze video van 35 seconden legt John Lambert van Microsoft uit waarom edge-apparaten van netwerken van kleine kantoren en thuiskantoren zulke aantrekkelijke doelwitten zijn voor bedreigingsactoren. Bekijk de video hieronder:

Bedreigingsactoren krijgen initiële toegang via verschillende methoden

Onderzoekers van Microsoft Bedreigingsinformatie hebben in Oekraïne en op andere plaatsen waargenomen dat bedreigingsactoren initiële toegang krijgen tot doelwitten met behulp van een gevarieerde werkset. Algemene tactieken en technieken zijn onder andere de exploitatie van internetgerichte toepassingen, via de achterdeur gepirate software en spear phishing. 5 reactief, snel meer cyber- en beïnvloedingsoperaties uitvoerden na de Hamas-aanvallen om Israël tegen te werken.

Slachtoffers imiteren voor meer geloofwaardigheid

Een toenemende trend in cyberbeïnvloedingsoperaties is de imitatie van organisaties van vermeende slachtoffers of leidinggevende figuren in die organisaties, voor meer geloofwaardigheid van de effecten van de cyberaanval of de inbreuk. 6

Snelle ingebruikname van openbaar bekendgemaakte POC's voor initiële toegang en persistentie

Microsoft heeft steeds vaker waargenomen dat bepaalde subgroepen van natiestaten openbaar bekendgemaakte codes van 'proof of concept' (POC) in gebruik nemen, kort nadat deze openbaar zijn gemaakt. Ze doen dit om te profiteren van beveiligingsproblemen van internetgerichte toepassingen. 7

 

De afbeelding hieronder illustreert twee aanvalsketens die de voorkeur krijgen van een subgroep van een natiestaat die door Microsoft is geobserveerd. In beide ketens gebruiken de aanvallers Impacket om zich lateraal te verplaatsen.

Illustratie van de aanvalsketen.

Bedreigingsactoren proberen sms-berichten in bulk te gebruiken om in contact te komen met een beoogde doelgroep

Microsoft heeft meerdere actoren waargenomen die proberen om sms-berichten in bulk te gebruiken om de versterking en psychologische effecten van hun cyberbeïnvloedingsoperaties te vergroten. 8

De afbeelding hieronder presenteert twee sms-berichten naast elkaar van bedreigingsactoren die zich voordoen als een Israëlisch sportkanaal. Het bericht links bevat een koppeling naar een bekladde webpagina van Sport5. Het bericht rechts waarschuwt: 'Als je van je leven houdt, reis je niet af naar onze landen.'

Atlas Group op Telegram: Schermopnamen van sms-berichten die afkomstig lijken van een Israëlisch sportkanaal.

Socialemediaoperaties vergroten effectieve betrokkenheid van de doelgroep

Geheime beïnvloedingsoperaties betrekken nu met succes beoogde doelgroepen op sociale media, meer dan eerder is waargenomen. Dit laat zien dat online-assets voor beïnvloedingsoperaties geavanceerder en verder ontwikkeld zijn.9

 

Hieronder zie je een Black Lives Matter-afbeelding die oorspronkelijk is geüpload door een geautomatiseerd account van een groep van een natiestaat. Zeven uur later werd de afbeelding opnieuw geüpload door een account dat een conservatieve kiezer in de Verenigde Staten imiteert.

Statement dat Black Lives Matter steunt, waarin discriminatie en politiegeweld worden afgekeurd en waarin wordt gepleit voor waardigheid en veiligheid

Specialisatie in de ransomware-economie

Operators van ransomware hebben zich in 2023 ontwikkeld in de richting van specialisatie. Ze kiezen ervoor om te focussen op een klein bereik mogelijkheden en diensten. Deze specialisatie heeft een effect van versplintering, omdat onderdelen van een ransomware-aanval worden verspreid over meerdere providers in een complexe ondergrondse economie. Als reactie houdt Microsoft Bedreigingsinformatie de providers afzonderlijk bij, waarbij wordt vastgesteld welk verkeer initiële toegang is en vervolgens andere diensten.10

 

In een videofragment dat is opgenomen tijdens Ignite, beschrijft Sherrod DeGrippo, Director of Threat Intelligence Strategy van Microsoft Bedreigingsinformatie, de huidige toestand van de ransomware-economie. Bekijk de video hieronder:

Stabiel gebruik van aangepaste hulpprogramma's

Hoewel sommige groepen aangepaste malware actief vermijden om onzichtbaar te blijven (zie 'Aangepaste hulpprogramma's en malware vermijden' hierboven), stappen andere groepen af van publiekelijk beschikbare hulpprogramma's en eenvoudige scripts om op maat gemaakte benaderingen te gebruiken die geavanceerdere methoden vereisen.11

Infrastructuur aanvallen

Infrastructuurorganisaties (waterzuiveringsinstallaties, maritieme operaties, transportorganisaties) hebben niet het type waardevolle gegevens die veel cyberspionage aantrekken. De gegevens hebben niet voldoende informatiewaarde, maar ze bieden wel verstoringswaarde. 12

 

John Lambert van Microsoft presenteert kort de paradox van cyberspionage: een doelwit dat ogenschijnlijk geen gegevens heeft. Bekijk de video hieronder:

Zoals je kunt zien in de details van de 11 items uit 2023 die we zojuist hebben besproken, blijft het bedreigingslandschap zich voortdurend ontwikkelen. De geavanceerdheid en regelmaat van cyberaanvallen blijft toenemen. De meer dan 300 bedreigingsactoren die we bijhouden blijven ongetwijfeld altijd proberen om iets nieuws te proberen en dit te combineren met de beproefde en bewezen TTP's. Terwijl we deze bedreigingsactoren analyseren en hun persona's proberen te begrijpen, is het voorspellen van hun volgende acties wat we zo geweldig aan ze vinden. We kunnen dit nu sneller doen met generatieve AI, en we zullen beter worden in het vroeger verdrijven van aanvallers.

 

Laten we vooruitkijken naar 2024.

 

Voor nieuws en informatie van Bedreigingsinformatie kun je terecht bij de Microsoft Bedreigingsinformatie-podcast, gehost door Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Een jaar van Russische hybride oorlogsvoering in Oekraïne. Pagina 14

  6. [6]

    Iran gebruikt cyberbeïnvloedingsoperaties voor een groter effect. Pagina 11.

  7. [7]
  8. [8]

    Iran gebruikt cyberbeïnvloedingsoperaties voor een groter effect. Pagina 11.

  9. [9]

    Digitale bedreigingen uit Oost-Azië nemen toe in reikwijdte en effectiviteit. Pagina 6

  10. [10]

    Een jaar aan informatie: Hoogtepunten van de 'Global Stand Against APT's' van Microsoft

  11. [11]

    Iran gebruikt cyberbeïnvloedingsoperaties voor een groter effect. Pagina 12.

  12. [12]

    Een jaar aan informatie: Hoogtepunten van de 'Global Stand Against APT's' van Microsoft

Cyberbeïnvloedingsoperaties Natiestaat Bedreigingsactoren

Gerelateerde artikelen

Russische bedreigingsactoren graven zich in, bereiden zich voor op afgedwongen oorlogsmoeheid

Russische cyber- en beïnvloedingsoperaties gaan door nu de oorlog in Oekraïne voortduurt. Microsoft Bedreigingsinformatie geeft details over de meest recente cyberbedreigings- en beïnvloedingsactiviteiten van de afgelopen zes maanden.
Meer informatie

Volt Typhoon valt kritieke infrastructuren in de Verenigde Staten aan met 'living-off-the-land' (LOTL)-technieken

Microsoft Bedreigingsinformatie heeft een toenemend aantal cyberbeïnvloedingsoperaties vanuit Iran ontdekt. Ontvang bedreigingsinzichten met details van nieuwe technieken en waar het potentieel van toekomstige bedreigingen ligt.
Meer informatie

Ransomware als een dienst: Het nieuwe gezicht van geïndustrialiseerde cybercriminaliteit

Microsoft Bedreigingsinformatie onderzoekt een jaar van cyber- en beïnvloedingsoperaties in Oekraïne, onthult nieuwe trends in cyberbedreigingen en wat je kunt verwachten nu de oorlog in het tweede jaar is.
Meer informatie

Microsoft volgen