Volgens onderzoek van Arctic Wolf wordt de Log4Shell-kwetsbaarheid een jaar na bekendmaking nog steeds massaal misbruikt.
Arctic Wolf verzamelde data over wereldwijde dreigingen, malware, digitale forensics en incident response (IR)-praktijkcases. Dit om de belangrijkste dreigingstrends uit 2022 vast te stellen. “Arctic Wolf heeft toegang tot biljoenen wekelijkse securityevents”, aldus Daniel Thanos, vice-president and head bij Arctic Wolf Labs. “Het stelt ons ook in staat om echt nieuwe inzichten over dreigingen te publiceren die waardevol zijn voor de gehele security community.”
Log4Shell
Op basis van de data wordt duidelijk dat Log4Shell, de in december 2021 geïdentificeerde zero-day RCE-kwetsbaarheid in Apache Log4j, langere tijd een probleem is. Een kwart van de Arctic Wolf-gebruikers was sinds januari 2022 doelwit van een poging om Log4Shell te misbruiken.
Ongeveer drie op de vijf van alle onderzochte incident response-gevallen met Log4Shell werden toegeschreven aan drie ransomware-varianten. Het gaat om LockBit (26,9 procent), Conti (19,2 procent) en ALPHV (11,5 procent). Gemiddeld kost een incident met Log4Shell meer dan 90.000 dollar, omgerekend zo’n 82.500 euro.
Naast Log4Shell wordt ook ProxyShell, de kwetsbaarheid in Microsoft Exchange die ook grote impact had, nog steeds massaal misbruikt. Het zijn “de twee belangrijkste ‘root points of compromise’ (RPOC) voor de incident response praktijkcases van Arctic Wolf.”
Opvallende bevindingen
Wat Arctic Wolf verder constateert is dat meer dan een kwart van alle IR-incidenten een business email compromise (BEC)-aanvallen waren. Het securitybedrijf merkt op dat bij 58 procent van de getroffen organisaties geen multi-factor authenticatie (MFA) ingeschakeld was. Er wordt een verband gelegd tussen een gebrek aan MFA en de toename aan BEC-aanvallen.
Verder constateert Arctic Wolf dat de Russische inval in Oekraïne de activiteiten van ransomware-groepen aanzienlijk heeft verstoord. Het draagt bij aan een daling van 26 procent op jaarbasis in het aantal waargenomen wereldwijde ransomware-gevallen.