2021 heeft het record gebroken voor zero-day hacking-aanvallen

0day exploit valt computer aan

mevrouw Tech | Getty





Een zero-day exploit - een manier om een ​​cyberaanval uit te voeren via een voorheen onbekende kwetsbaarheid - is zo ongeveer het meest waardevolle dat een hacker kan bezitten. Deze exploits kunnen dragen prijskaartjes ten noorden van $ 1 miljoen op de vrije markt.

En dit jaar hebben cyberbeveiligingsverdedigers het hoogste aantal ooit gevangen, volgens meerdere databases, onderzoekers en cyberbeveiligingsbedrijven die met MIT Technology Review hebben gesproken. Dit jaar zijn er zeker 66 zero-days in gebruik gevonden, blijkt uit databases als de 0-daags volgproject — bijna het dubbele van het totaal voor 2020, en meer dan in enig ander jaar ooit.

Maar hoewel het recordaantal de aandacht trekt, kan het moeilijk zijn om te weten wat het ons vertelt. Betekent dit dat er meer zero-days worden gebruikt dan ooit? Of zijn verdedigers beter in het vangen van hackers die ze eerder zouden hebben gemist?



Een toename is zeker wat we zien, zegt Eric Doerr, vice-president van cloudbeveiliging bij Microsoft. De interessante vraag is wat het betekent? Valt de hemel? Ik ben in het kamp van 'Nou, het is genuanceerd.'

Hackers draaien op volle toeren

Een factor die bijdraagt ​​aan het hogere aantal gerapporteerde zero-days is de snelle wereldwijde verspreiding van hacktools.

Krachtige groepen storten allemaal enorm veel geld in zero-days om voor zichzelf te gebruiken - en ze plukken de vruchten ervan.



Aan de top van de voedselketen staan ​​de door de overheid gesponsorde hackers. Alleen China wordt ervan verdacht dit jaar verantwoordelijk te zijn voor negen zero-days, zegt Jared Semrau, directeur kwetsbaarheid en uitbuiting bij het Amerikaanse cyberbeveiligingsbedrijf FireEye Mandiant. De VS en hun bondgenoten bezitten duidelijk enkele van de meest geavanceerde hackmogelijkheden , en er is steeds meer sprake van die tools agressiever gebruiken .

We hebben deze toplaag van geavanceerde spionageacteurs die absoluut op volle toeren draaien op een manier die we de afgelopen jaren niet hadden gezien, zegt Semrau.

Weinigen die zero-days willen, hebben de capaciteiten van Peking en Washington. De meeste landen die krachtige exploits zoeken, hebben niet het talent of de infrastructuur om ze in eigen land te ontwikkelen, en daarom kopen ze ze in plaats daarvan.



Het is gemakkelijker dan ooit om zero-days te kopen van de groeiende exploit-industrie. Wat ooit onbetaalbaar en high-end was, is nu breder toegankelijk.

We zagen deze staatsgroepen naar NSO Groep of Candiru, deze steeds bekendere diensten waarmee landen financiële middelen kunnen ruilen voor offensief vermogen, zegt Semrau. De Verenigde Arabische Emiraten, de Verenigde Staten en Europese en Aziatische mogendheden hebben allemaal geld in de exploitatie-industrie gestoken.

Google zegt dat het voor hackers te gemakkelijk is om nieuwe beveiligingsfouten te vinden Aanvallers maken keer op keer misbruik van dezelfde soorten softwarekwetsbaarheden, omdat bedrijven vaak door de bomen het bos niet meer zien.

En Ook cybercriminelen hebben zero-day gebruikt aanvallen om geld te verdienen in de afgelopen jaren, het vinden van fouten in software die hen in staat stellen waardevolle ransomware-schema's uit te voeren.



Financieel gemotiveerde actoren zijn geavanceerder dan ooit, zegt Semrau. Een derde van de zero-days die we recent hebben gevolgd, is direct te herleiden tot financieel gemotiveerde actoren. Ze spelen dus een belangrijke rol in deze toename, waarvan ik denk dat niet veel mensen dat waarderen.

Cyberdefenders hebben een betere spotlight

Hoewel er mogelijk steeds meer mensen zero-days ontwikkelen of kopen, is het gerapporteerde recordaantal niet per se een slechte zaak. Sommige experts zeggen zelfs dat het vooral goed nieuws is.

Niemand met wie we hebben gesproken, gelooft dat het totale aantal zero-day-aanvallen in zo'n korte tijd meer dan verdubbeld is - alleen het aantal dat is gepakt. Dat suggereert dat verdedigers steeds beter in staat zijn om hackers op heterdaad te betrappen.

U kunt de gegevens bekijken, zoals: De zero-day-spreadsheet van Google , die bijna een decennium aan belangrijke hacks volgt die in het wild zijn gevangen.

Een verandering die de trend kan weerspiegelen, is dat er meer geld beschikbaar is voor verdediging, niet in de laatste plaats door grotere bug-bounties en beloningen die door technologiebedrijven zijn voorgesteld voor de ontdekking van nieuwe zero-day-kwetsbaarheden. Maar er zijn ook betere tools.

Verdedigers zijn duidelijk overgegaan van het vangen van alleen relatief eenvoudige aanvallen naar het detecteren van complexere hacks, zegt Mark Dowd, oprichter van Azimuth Security. Ik denk dat dit duidt op een escalatie in het vermogen om meer geavanceerde aanvallen te detecteren, zegt hij.

Groepen zoals Google's Threat Analysis Group (TAG), Kaspersky's Global Research & Analysis Team (GReAT) en Microsoft's Threat Intelligence Center (MSTIC) hebben een enorme hoeveelheden talent, middelen en data - zo veel zelfs dat ze wedijveren met de capaciteiten van een inlichtingendienst om kwaadwillende hackers op te sporen en te volgen.

Bedrijven zoals Microsoft en CrowdStrik behoren tot degenen die op grote schaal detectie-inspanningen uitvoeren. Waar oude tools, zoals antivirussoftware, minder oog hadden voor vreemde activiteiten, kan een groot bedrijf tegenwoordig een kleine anomalie op miljoenen machines detecteren en deze vervolgens herleiden tot de zero-day die werd gebruikt om binnen te komen.

Hoe China's aanval op Microsoft escaleerde in een roekeloze hackaanval

Dagen voordat Microsoft een oplossing uitbracht voor een geheime aanval op zijn e-mailsystemen, voerden hackers hun activiteiten op. Nu zeggen experts dat snelle actie vereist is.

Een deel van de reden dat je nu meer ziet, is omdat we meer vinden, zegt Doerr van Microsoft. We zijn beter in het schijnen van een schijnwerper. Nu kunt u leren van wat er bij al uw klanten gebeurt, waardoor u sneller slimmer wordt. In de slechte situatie waarin u iets nieuws ziet, heeft dat gevolgen voor één klant in plaats van 10.000.

De realiteit is echter veel rommeliger dan de theorie. Eerder dit jaar, meerdere hackgroep s lanceerde offensieven tegen Microsoft Exchange e-mailservers. Wat begon als een kritieke zero-day-aanval werd kortstondig nog erger in de periode nadat een fix beschikbaar kwam, maar voordat deze daadwerkelijk op gebruikers werd toegepast. Die kloof is een goede plek die hackers graag raken.

In de regel is Doerr echter perfect.

Exploits worden moeilijker - en waardevoller

Zelfs als zero-days meer dan ooit worden gezien, is er één feit waar alle experts het over eens zijn: ze worden moeilijker en duurder om uit te voeren.

Betere verdedigingen en ingewikkelder systemen betekenen dat hackers meer werk moeten verzetten om een ​​doelwit te doorbreken dan tien jaar geleden - aanvallen zijn duurder en vereisen meer middelen. Het resultaat is echter dat met zoveel bedrijven die in de cloud opereren, een kwetsbaarheid miljoenen klanten kan blootstellen aan aanvallen.

Tien jaar geleden, toen alles nog op eigen terrein was, waren veel aanvallen slechts één bedrijf te zien, zegt Doerr, en waren maar weinig bedrijven toegerust om te begrijpen wat er aan de hand was.

Geconfronteerd met het verbeteren van de verdediging, moeten hackers vaak meerdere exploits aan elkaar koppelen in plaats van er maar één te gebruiken. Deze exploitketens hebben meer zero-days nodig. Het succes bij het spotten van deze ketens is ook een deel van de reden voor de sterke stijging van het aantal.

Tegenwoordig, zegt Dowd, moeten aanvallers meer investeren en meer risico nemen door deze ketens te hebben om hun doelen te bereiken.

Een belangrijk signaal komt van de stijgende kosten van de meest waardevolle exploits. De beperkte beschikbare gegevens, zoals: De openbare zero-day prijzen van Zerotium , toont zoveel als een 1.150% stijging in de kosten van de meest geavanceerde hacks van de afgelopen drie jaar.

Maar zelfs als zero-day-aanvallen moeilijker zijn, is de vraag gestegen en volgt het aanbod. De lucht valt misschien niet, maar het is ook geen perfect zonnige dag.

zich verstoppen