Cybercriminelen stappen steeds meer af van malware en misbruiken legitieme tools

De overstap van phishing via mailberichten naar telefonie, wat ook frauduleze helpdesktelefoontjes omvat, past in een grotere trend. Dit merkt securityleverancier CrowdStrike op in zijn Global Threat Report over 2024. Die grotere trend in het jaarrapport dat nu net uit is, betreft het verminderde gebruik van malware door cybercriminelen. In plaats van kwaadaardige software maken aanvallers meer gebruik van legitieme tools.

Onder de radar

Het gaat dan om software voor remote-beheer en voor monitoring. Zulke tools kunnen ook standaard al aanwezig zijn in de IT-omgeving van een bedrijf, organisatie of overheid die door de aanvallers dan op de korrel worden genomen. In zo'n gevaal heet dit gebruik van reeds aanwezige middelen dan 'living off the land' (LOTL-aanvallen).

In de loop van 2024 hebben aanvallers met commerciële motieven (zogeheten eCrime-actoren) regelmatig remote management & monitoring (RMM) tools benut, meldt CrowdStrike in het nieuwe rapport. Deze methode geeft de kwaadwillenden meer mogelijkheden om onder de radar te blijven van securitytools en monitoringsystemen.

Bestaande gebruikersaccounts

Deze trend is enkele jaren geleden ingezet. CrowdStrike heeft in 2023 al de opkomst van Kerberoasting gemeld. Daarbij interacteren aanvallers op malafide wijze met authenticatiemethode Kerberos, die wordt gebruikt door Microsofts beheeromgeving Active Directory. Via Kerberoasting kan een aanvaller toegang krijgen tot hashes van bestaande gebruikers- en beheerdersaccounts, die dan worden gebruikt om toegang te krijgen tot de organisatie.