CrowdStrike heeft het Global Threat Report van 2025 zojuist uitgebracht. Daaruit blijkt dat cyberdreigingen steeds vaker gebruik van legitieme tools, terwijl de gevaren uit nieuwe hoeken komen. De oplossing: een offensieve opstelling.
Het CrowdStrike-rapport is inmiddels een jaarlijkse traditie geworden. Ondanks dat het securitybedrijf het liefst elke dreiging ziet verdwijnen, houdt het steevast bij welke cyber-opponenten mogen worden ‘gepromoveerd’. Een dergelijke promotie houdt in dat de “threat actor” in kwestie een codenaam krijgt, doorgaans een bijvoeglijk naamwoord aangevuld met een diersoort. Elk dier heeft een associatie: veelal een land van herkomst, maar soms een subcategorie aanvallers zoals hacktivisten. Zo is het beruchte Cozy Bear van Russische komaf en is Scattered Spider een eCrime-groep.
Panda’s en saiga-antilopes
Dit jaar zijn er veel panda’s bijgekomen, ofwel Chinese cyberdreigingen. CrowdStrike meette een toename van 150 procent aan activiteit in China en tot wel 300 procent in bepaalde sectoren. Deze groei ging gepaard met geraffineerde aanvalstechnieken die collega’s in Rusland en Noord-Korea al eerder hadden geadopteerd. Adam Meyers, Senior Vice President Counter Adversary Operations bij CrowdStrike, merkt op dat China een volwassen cyberaanvaller werd in het jaar 2024.
Ook is het dierenrijk diverser geworden, ofwel de verscheidenheid aan afkomsten van cyberdreigingen. Neem Kazachstaanse actoren, herkenbaar in de CrowdStrike-rapportage als saiga-antilopes, zoals Comrade Saiga. Meyers geeft aan dat het dreigingslandschap niet alleen verandert in zijn afkomsten. Ook zijn de aanvalsmethodes listiger dan ooit en daardoor moeilijker te detecteren.
Legitieme tools en EDR-omzeilingen
79 procent van de CrowdStrike-detecties wereldwijd betroffen malware-loze aanvallen. “Interactive intrusions”, in de bewoording van het securitybedrijf, komen steeds meer op. Zo combineerde de eCrime-groep Curly Spider social engineering met legitieme remote management (RMM)-tooling en cloud-hosted payloads om toe te slaan.
Doordat er te allen tijde gebruik wordt gemaakt van legitieme binaries en accounts, merken traditionele EDR-tools de actie van cyberdreigingen niet zomaar op als verdacht. Dit terwijl de schade voortdurend enorm is en in rap tempo wordt aangericht. SaaS-apps zitten boordevol waardevolle data die aanvallers exfiltreren of manipuleren voor hun eigen doeleinden. Binnen 4 minuten stappen cyberdreigingen als Curly Spider over van initiële toegang tot het verbinden met de eigen malafide infrastructuur. 6 seconden verder en er is al een backdoor voor langdurig verblijf in het getroffen IT-netwerk.
Threat hunting: aanvallers de pas afsnijden
Zelf biedt CrowdStrike het XDR-platform Falcon aan. Er vindt bij dergelijke tools doorgaans een wisselwerking plaats, waarbij de endpoints beschermd zijn maar ook informatie doorspelen over nieuwe dreigingen aan de security-vendor. Echter is poortwachter zijn niet meer voldoende, weet Meyers. CrowdStrike werkt daarom met twee teams die onder Meyers’ Counter Adversary Operations-eenheid opereren: CrowdStrike Intelligence en CrowdStrike OverWatch. Eerstgenoemde brengt de meest recente cyberdreigingen in kaart in real-time, terwijl OverWatch de intelligence toepast om proactief gevaren te verschalken.
Hoe wordt deze informatie gecombineerd, vragen we aan Meyers. “Het kan preventief zijn. We hebben sommige inbreuken gestopt door credentials te zien binnen eCrime-ecosystemen.” Sterker nog: het eerder genoemde Curly Spider werd op heterdaad betrapt door CrowdStrike OverWatch en een halt toegeroepen, aldus Meyers. Dat lukte al binnen vier minuten. Een ander voorbeeld: Famous Chollima (chollima is een mythisch Chinees paard, maar staat voor Noord-Korea). Meyers vertelt dat een klant een Noord-Koreaan had aangenomen op een woensdag en dat de pc op zaterdag in de ‘laptop farm’ arriveerde. “Het werd ingeplugd en CrowdStrike was binnen een uur in staat om dit te rapporteren aan de klant. Op maandag, wanneer de werknemer zou worden ge-onboard en toegang tot alle systemen had verkregen, werd hun account beëindigd.”
Deze snelheid is hard nodig. 52 procent van de door CrowdStrike-geobserveerde kwetsbaarheden waren gerelateerd aan initiële toegang. Ook was de gemiddelde “breakout time”, ofwel het losbreken vanuit deze initiële toegang, slechts 48 minuten. Het snelheidsrecord was een vrij duizelingwekkende 51 seconden van infiltratie tot vervolgactie.
Explosie aan vishing
Uit het CrowdStrike-rapport blijkt een ander gevaar dat pas in de laatste maanden van 2024 opkwam: vishing. Nee, dat is geen typfout: het betreft voice-phishing, ofwel misleiding via telefoon- of Teams-gesprekken, dat ten opzichte van 2023 wel met 442 procent toenam in het jaar erna. CrowdStrike detecteerde slechts twee voorvallen hiervan in januari, maar in december 93.
Aanvallers doen zich regelmatig in Teams-calls voor als IT’ers en sporen medewerkers aan om legitieme RMM-tools te installeren. Microsoft Quick Assist is bijvoorbeeld een uiterst gewone oplossing om pc-problemen op te lossen. Omdat de aanvallers aanvankelijk phishing-mails spammen met Teams-uitnodigingen, lukt het door de schaal hiervan om altijd wel een doelwit te vinden. Welke groep is een van de grootste aanhangers van deze modieuze aanvalstechniek? Niemand anders dan Curly Spider. Zo blijkt deze vijand van CrowdStrike en haar klanten andermaal een waardevolle bron van informatie over het gedrag van de meest uitgekiende cyberdreigingen.
Lees ook: CrowdStrike bundelt threat hunting en intelligence om identity-gevaar te bestrijden