Waar de gemiddelde dwell time van indringers in 2020 nog elf dagen bedroeg, was dit vorig jaar gestegen naar vijftien dagen. Het onderzoek van Sophos onthult ook een langere dwell time bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met drie- tot vijfduizend werknemers zo'n twintig dagen doorbrachten.

Grotere motivatie

'Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te geraken, te pakken wat ze willen en weer te vertrekken. Kleinere organisatie zijn minder 'waardevol', zodat aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen', zegt John Shier, senior security advisor bij Sophos.

Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. 'Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het bijgevolg langer om aanvallers op te merken en uit te schakelen', aldus Shier.

Initial Access Brokers

Het onderzoeksrapport gaat ook in op de impact van zogeheten ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB's) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.

'Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB's zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn', klinkt het.

Wat zijn IAB's precies?

Initial Access Brokers zijn de slotenmakers, of liever: slotenkrakers, van de digitale wereld. Ze hebben een kleinschalige cybercrime-industrie ontwikkeld waarbij ze inbreken bij een doelwit, de omgeving gaan verkennen of een achterpoortje installeren, en vervolgens gebruiksklare toegang verkopen aan ransomware-groepen die zelf een aanval willen lanceren.

Waar de gemiddelde dwell time van indringers in 2020 nog elf dagen bedroeg, was dit vorig jaar gestegen naar vijftien dagen. Het onderzoek van Sophos onthult ook een langere dwell time bij indringers van kleinere organisaties. In bedrijven met minder dan 250 werknemers bleven aanvallers ongeveer 51 dagen hangen, terwijl ze in organisaties met drie- tot vijfduizend werknemers zo'n twintig dagen doorbrachten.'Aanvallers zien meer waarde in grotere organisaties, waardoor ze gemotiveerder zijn om binnen te geraken, te pakken wat ze willen en weer te vertrekken. Kleinere organisatie zijn minder 'waardevol', zodat aanvallers het zich kunnen veroorloven om gedurende langere tijd op de achtergrond door het netwerk te sluipen', zegt John Shier, senior security advisor bij Sophos.Een andere verklaring is dat deze aanvallers minder ervaren waren en meer tijd nodig hadden om uit te zoeken wat ze moesten doen wanneer ze eenmaal binnen waren. 'Tot slot hebben kleinere organisaties doorgaans minder zicht op de aanvalsketen en duurt het bijgevolg langer om aanvallers op te merken en uit te schakelen', aldus Shier.Het onderzoeksrapport gaat ook in op de impact van zogeheten ProxyShell-kwetsbaarheden. Sophos gelooft dat sommige Initial Access Brokers (IAB's) hiervan gebruik hebben gemaakt om netwerken binnen te dringen en de toegang nadien aan andere aanvallers te verkopen.'Door de mogelijkheden van ongepatchte ProxyShell-kwetsbaarheden en de opkomst van IAB's zien we vaker aanwijzingen dat meerdere aanvallers het op een enkel doelwit gemunt hebben. Als het druk is binnen een netwerk, zullen aanvallers sneller willen handelen om de concurrentie voor te zijn', klinkt het.