'Threat Landscape Index' bereikt een recordhoogte in het tweede kwartaal van 2019
Er was sprake van een stijging van bijna 4% ten opzichte van het voorgaande jaar. Dit was het gevolg van toenemende activiteit op het gebied van malware en exploits (misbruik van kwetsbaarheden). Een gedetailleerde bespreking van de Threat Landscape Index en de subindexen voor exploits, malware en botnets, compleet met speciale aanbevelingen voor CISO’s, is te vinden op het blog van Fortinet.
Threat Landscape Index
Geavanceerdere technieken
Uit het onderzoeksrapport blijkt tevens dat veel moderne virussen en andere cyber bedreigingen al gebruik maakten van functionaliteit voor het omzeilen van detectie mechanismen. Cybercriminelen blijken echter steeds geavanceerdere technieken te hanteren om hun aanvallen verborgen te houden.
Uit een recente spamcampagne blijkt hoe cybercriminelen deze technieken verder optimaliseren om beveiligingsprofessionals te slim af te zijn. Voor deze campagne werd gebruikgemaakt van een phishing-mail met een bijlage in de vorm van een Excel-document. Deze spreadsheet was met behulp van een kwaadaardige macro omgevormd tot een cyberwapen. De macro bevatte functies die ten doel hadden om beveiligingstools te deactiveren, op willekeurige wijze opdrachten uit te voeren, geheugenproblemen te veroorzaken en ervoor te zorgen dat de kwaadaardige code louter op Japanse systemen zou worden uitgevoerd. Er werd specifiek gezocht naar een xIDate-variabele, iets wat nog nooit eerder was gezien.
Een ander voorbeeld is een variant van de banking trojan Dridex. Deze zorgt ervoor dat de namen en hashcodes van bestanden elke keer wordt gewijzigd wanneer het slachtoffer zich aanmeldt. Dit maakt het bijzonder lastig om de malware op geïnfecteerde host-systemen te detecteren. Het toenemende gebruik van technieken voor het omzeilen van detectiemechanismen wijst eens temeer op de noodzaak van gelaagde beveiliging en gedragsgebaseerde bedreigingsdetectie.
Malware verspreid via Spearphishing
De infostealer-malware 'Zegost' vormde de spil in een recente spearphishing-campagne. Net als andere infostealers is het belangrijkste doel van Zegost om informatie op het systeem te verzamelen en die naar buiten te smokkelen. Maar in tegenstelling tot andere infostealers maakt 'Zegost' gebruik van unieke technieken om onder de radar te opereren. De malware maakt bijvoorbeeld gebruik van functionaliteit voor verwijderen van logbestanden. Een dergelijke ‘witwasmethode’ wordt niet in reguliere malware aangetroffen. Een andere interessante omzeilings techniek van 'Zegost' is het gebruik van een opdracht die de infostealer ‘op ijs zette’ tot en met 14 februari 2019. Pas na deze datum trad zijn infectieroutine in werking.
De cybercriminelen achter 'Zegost' maken gebruik van diverse exploits om een verbinding met hun doelwit te maken en die verbinding in stand te houden. Deze cyberbedreiging heeft daarmee een veel duurzamer karakter dan de meeste malware die momenteel de ronde doet.
Gerichte aanvallen op organisaties
Diverse cyberaanvallen op overheidsinstellingen en onderwijssystemen bewijzen dat ransomware een serieuze bedreiging voor organisaties blijft. Wat ransomware betreft is er sprake van een merkbare verschuiving van massale, opportunistische aanvallen naar gerichte aanvallen op organisaties die geacht worden over het voldoende geld of reden te beschikken om losgeld te betalen. In sommige gevallen voerden cybercriminelen uitgebreide verkenningen uit alvorens ransomware te installeren op zorgvuldig geselecteerde systemen. Dit vergrootte hun kans op succes.
Een voorbeeld hiervan is de ransomware-variant 'RobbinHood'. Deze schakelt Windows-services uit die ten doel hebben om de versleuteling van data te voorkomen en verbreekt de verbinding met alle netwerkshares om het systeem van het slachtoffer te isoleren. Een nieuwe ransomware-variant genaamd 'Sodinokibi' lijkt een nieuwe bedreiging voor organisaties te vormen. Deze verschilt qua functionaliteit niet noemenswaardig met de meeste andere ransomware die in het veld wordt aangetroffen. Het zorgwekkende is echter dat Sodinokibi gebruikmaakt van een recent ontdekte kwetsbaarheid die het mogelijk maakt om op afstand willekeurige code uit te voeren.
De toename van het aantal gedetecteerde kwetsbaarheden in het Remote Desktop Protocol (RDP) zoals BlueKeep wijst erop dat diensten voor toegang op afstand de deur openzetten voor cybercriminelen. Deze kwetsbaarheden kunnen onder meer worden gebruikt om ransomware te verspreiden. Welke aanvalstechniek er ook door cybercriminelen wordt gebruikt, ransomware blijft een serieuze bedreiging voor organisaties. Om deze reden dienen zij een hogere prioriteit toe te kennen aan patching en voorlichting op het gebied van informatiebeveiliging.
Steeds meer ‘smart’ apparatuur
Volgens het rapport was er in het tweede kwartaal sprake van toenemende kwaadaardige activiteit rond industriële besturingssystemen. Er werden onder meer aanvallen uitgevoerd op systemen voor het bewaken van de omgevingscondities, beveiligingscamera’s en veiligheidssystemen. Een malware-variant die zich richtte op oplossingen voor het beheer van industriële gebouwen bleek in 1% van alle organisaties actief te zijn geweest. Dit lijkt op het eerste gezicht misschien niet veel, maar het is een hoger percentage dan normaliter voor ICS- of SCADA-systemen wordt geobserveerd.
Bedrijven en consumenten maken gebruik van steeds meer ‘smart’ apparatuur. Die trok naar verhouding altijd minder aandacht van cybercriminelen dan hun industriële tegenhangers, maar daar lijkt nu verandering in te komen. De onderzoeksresultaten laten zien dat cybercriminelen op zoek zijn naar nieuwe mogelijkheden om de controle over te nemen van smart apparaten. Aan de beveiliging hiervan wordt minder prioriteit toegekend dan aan andere apparatuur, omdat ze buiten het traditionele IT-beheer vallen. Dit kan ernstige gevolgen hebben voor de beveiliging. Dat geldt zeker voor omgevingen voor telewerken, waarin veilige toegang van essentieel belang is.
Vincent Zeebregts van Fortinet Nederland
“Cybercriminelen maken gebruik van een steeds breder scala aan slimme aanvalstechnieken. Ze gebruiken snelheid en connectiviteit in hun voordeel. Beveiligingsprofessionals zouden hetzelfde moeten doen om effectievere maatregelen tegen cyberbedreigingen te nemen. Een security fabric-benadering die voorziet in netwerksegmentatie, integratie van beveiligingsoplossingen, praktisch inzetbare bedreigingsinformatie, automatisering en machine learning is van cruciaal belang voor succesvolle beveiliging.”
Bron: fortinet, dutchitchannel