Click here or click 'CHOOSE YOUR LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Cybersecurity is een voortdurende zorg voor bedrijven van elke omvang en in elke sector. Het is van cruciaal belang om op de hoogte te blijven van de laatste bedreigingen en aanvalsoppervlakken, evenals de nieuwste technieken die cybercriminelen gebruiken om hun slachtoffers aan te vallen.
Daarom presenteert Fortinet zijn tweejaarlijkse Global Threat Report, dat bedrijven helpt om de actuele situatie van de cyberdreigingen te begrijpen. Het rapport biedt inzicht in de nieuwste bedreigingen en kwetsbaarheden, evenals aanbevelingen voor bedrijven om zichzelf te beschermen tegen deze risico's.
Belangrijke onderzoeksbevindingen voor de tweede helft van 2022 zijn
- De grootschalige verspreiding van wiper-malware wijst erop dat cyberaanvallen een steeds verwoestender karakter krijgen.
- De bedreiging van ransomware blijft wereldwijd op piekniveau. Er zijn geen tekenen die op een afzwakking van deze trend wijzen. Er komen voortdurend nieuwe varianten bij die met Ransomware-as-a-Service (RaaS) zijn ontwikkeld.
- De vaakst geobserveerde malware was meer dan een jaar oud, maar bleek ingrijpende aanpassingen te hebben ondergaan. Dit wijst op de doeltreffendheid en kostenefficiëntie die het hergebruik van code cybercriminelen te bieden heeft.
- Organisaties in alle sectoren en regio’s blijven kampen met de kwetsbaarheid Log4j, die grif door cybercriminelen wordt misbruikt. Dat geldt in het bijzonder voor de IT-wereld, de overheidssector en het onderwijs.
Opkomst van verwoestende wiper-malware
Een analyse van onderzoeksdata over wiper-malware wijst op een nieuwe trend: cybercriminelen blijken keer op keer verwoestende aanvalstechnieken tegen hun doelwitten in te zetten. Cybercriminelen kunnen dit soort aanvallen eenvoudig opschalen. Vaak doen ze daarvoor een beroep op het Cybercrime-as-a-Service (CaaS)-model.
FortiGuard Labs wees in het begin van 2022 op de komst van diverse nieuwe wipers. Dit viel samen met de oorlog tussen Rusland en Oekraïne. Later dat jaar breidde de wiper-malware zich naar andere landen uit. Dit zorgde alleen al van het derde op het vierde kwartaal voor een toename van wiper-activiteit met 53%. Een deel van deze malware is mogelijk door staatshackers ontwikkeld in verband met de oorlog. Deze malware is echter opgepikt door cybercriminele groeperingen die de wipers nu ook buiten Europa inzetten. Afgaande op de detecties in het vierde kwartaal van 2022 vertoont de trend van verwoestende wiper-malware helaas geen teken van afzwakking. Elke organisatie is een doelwit, ook als die zich buiten Oekraïne of de omliggende landen bevindt.
De ontwikkeling van het aantal aanvallen met wiper-malware in 2022
Ransomware blijft wereldwijde bedreiging
Uit de werkzaamheden die het Incident Response (IR)-team van FortiGuard Labs namens klanten uitvoerde bleek dat financieel gemotiveerde cybercriminaliteit goed was voor het grootste percentage beveiligingsincidenten (73,9%), op grote afstand gevolgd door cyberspionage (13%). In heel 2022 maakte 82% van alle financieel gemotiveerde cyberaanvallen gebruik van ransomware of kwaadaardige scripts. Hieruit blijkt dat de wereldwijde bedreiging van ransomware onverminderd van kracht blijft. Dit is het gevolg van de toenemende populariteit van Ransomware-as-a-Service (RaaS) op het darkweb. Het ransomware-volume steeg vanaf de eerste helft van 2022 met maar liefst 16%. Van de in totaal 99 gedetecteerde ransomware-families was de top vijf goed voor zo’n 37% van alle activiteit in de tweede helft van het jaar. De RaaS-malware GandCrab, die in 2018 op het toneel verscheen, prijkte bovenaan de lijst. Hoewel de makers van GandCrab na het buitmaken van ruim 2 miljard dollar aankondigden met pensioen te gaan, zagen diverse nieuwe versies van GandCrab het licht. Mogelijk is dit een nasleep is van hun activiteiten of is de code door andere cybercriminelen gewijzigd en in een nieuwe vorm de wereld ingestuurd. Deze ontwikkeling wijst op het belang om permanent een halt toe te roepen aan de activiteiten van cybercriminelen. Een effectieve ontmanteling van hun toevoerketens vraagt om een collectieve wereldwijde inspanning, hechte en betrouwbare relaties en sectoroverstijgende samenwerking.
Cybercriminelen recyclen code voor winstgevende aanvallen
Cybercriminelen zijn ondernemend ingesteld. Ze zijn voortdurend op zoek naar manieren om optimaal gebruik te maken van hun bestaande investeringen en kennis en hun aanvallen effectiever en winstgevender te maken. Het hergebruik van code biedt hen een efficiënte en lucratieve manier om verder te bouwen op eerdere successen. Met elke nieuwe versie verfijnen zij hun cyberaanvallen, zodat ze beveiligingsmechanismen steeds beter kunnen omzeilen.
Uit een analyse van FortiGuard Labs bleek de meest actieve malware in de tweede helft van 2022 meer dan een jaar oud te zijn. Ze vinden hun oorsprong meer dan tien jaar geleden. FortiGuard Labs analyseerde daarnaast diverse varianten van Emotet op het lenen en hergebruik van code. Hieruit bleek dat deze malware ingrijpende aanpassingen heeft ondergaan. De nieuwe varianten kunnen grofweg worden onderverdeeld in zes verschillende malware-categorieën. Cybercriminelen leggen zich niet alleen toe op het automatiseren van cyberbedreigingen, maar moderniseren ook actief de broncode om hun effectiviteit te vergroten.
Oude botnets nog steeds effectief
Cybercriminelen maken ook gebruik van bestaande infrastructuren en oudere cyberbedreigingen om hun slagingskansen te vergroten. Een analyse van botnet-bedreigingen op activiteit door FortiGuard Labs wijst uit dat de meest voorkomende botnets allesbehalve nieuw zijn. Zo maakte het botnet Morto, dat in 2011 voor het eerst werd geobserveerd, een spectaculaire comeback aan het einde van 2022. En ondertussen blijven botnets zoals Mirai en Gh0st.Rat in alle regio’s bijzonder actief. Verrassend genoeg is RotaJakiro het enige van de vijf meest actieve botnets dat dit decennium het licht zag.
Hoewel het verleidelijk is om oudere cyberbedreigingen af te schrijven, is het belangrijk voor organisaties in elke sector om waakzaam te blijven. Er is namelijk een reden waarom deze ‘vintage’ botnets nog altijd op grote schaal actief zijn: ze blijven bijzonder effectief. Vindingrijke cybercriminelen zullen steeds veerkrachtiger versies van bestaande botnet-infrastructuren ontwikkelen met behulp van uiterst specialistische technieken. Dat doen ze omdat ze weten dat ze een rendement op hun investering kunnen boeken. In de tweede helft van 2022 waren managed security service providers (MSSP’s), spelers in de telecomsector en industriële bedrijven de belangrijkste doelwitten van Mirai. Deze botnet staat bekend om zijn focus op operationele technologie (OT). Cybercriminelen bestookten deze organisaties gericht met beproefde aanvalstechnieken.
Log4j-kwetsbaarheid nog steeds aanwezig
Ondanks alle media-aandacht die in 2021 en het begin van 2022 uitging naar de kwetsbaarheid Log4j heeft een significant aantal organisaties daar nog altijd geen patches voor geïnstalleerd of passende beveiligingsmechanismen voor ingericht.
In de tweede helft van 2022 bleef er in alle regio’s sprake van een bijzonder groot aantal Log4j-exploits. FortiGuard labs merkt op dat 41% van alle organisaties de Log4j-activiteit detecteerde. Daarmee blijkt hoe wijdverspreid deze kwetsbaarheid blijft. Dat geldt voor de IT-wereld, de overheidssector en het onderwijs. En dat zou geen verbazing moeten wekken gezien de populariteit van de open source-software Apache Log4j in deze sectoren.
Hoe cybercriminelen malware verspreiden
Het analyseren van de strategieën van cybercriminelen levert waardevolle inzichten op in de manier waarop zij hun aanvalstechnieken doorontwikkelen. Deze informatie maakt het mogelijk om effectievere bescherming te bieden tegen toekomstige aanvalsscenario’s. FortiGuard Labs bestudeerde de functionaliteit van gedetecteerde malware aan de hand van sandbox-data om de meest voorkomende methoden voor het aanleveren van malware in kaart te brengen. Het is belangrijk om daarbij op te merken dat er alleen naar onschadelijk gemaakte malware-monsters werd gekeken.
Van de acht meest voorkomende tactieken en technieken die binnen de sandbox-omgeving werden geobserveerd bleek drive-by-compromise de populairste. Cybercriminelen gebruiken die om toegang te krijgen tot de systemen van organisaties in alle delen van de wereld. Ze rekenen op gebruikers die nietsvermoedend kwaadaardige code downloaden door een besmette website te bezoeken, een kwaadaardige e-mailbijlage te openen of op een link of misleidend pop-upvenster te klikken. Het probleem met deze drive by-technieken is vaak dat het na het downloaden van kwaadaardige code vaak te laat is voor organisaties om een beveiligingsincident te vermijden als ze geen holistische beveiligingsaanpak hanteren.
Identificatie van cybercriminele doelen
De trends op het gebied van misbruik van kwetsbaarheden (exploits) maken duidelijk welke doelwitten cybercriminelen aantrekkelijk vinden en hoe ze hun aanvallen daarop voorbereiden. FortiGuard Labs beschikt over een uitgebreid archief van kwetsbaarheden. Door het verrijken van zijn data was het in staat om actief misbruikte kwetsbaarheden in real time te identificeren en de zones binnen het aanvalsoppervlak met het hoogste risico (red zones) in kaart te brengen.
In de tweede helft van 2022 bevond minder dan 1% van alle gedetecteerde kwetsbaarheden binnen grote ondernemingen zich op endpoints. Dit kleine percentage kwetsbaarheden werd regelmatig aangevallen. Aan de hand van informatie over deze red zone kunnen CISO’s het overzicht verbeteren en taken rond het minimaliseren van risico’s en patchen van kwetsbaarheden trefzeker op prioriteit indelen.
Over het Global Threat Landscape Report
Deze nieuwe editie van het Global Threat Landscape Report weerspiegelt de collectieve kennis van FortiGuard Labs. Deze is gebaseerd op informatie over miljarden beveiligingsincidenten die in de tweede helft van 2022 werd verzameld via het wereldwijde sensornetwerk van Fortinet. Het MITRE ATT&CK-framework verdeelt de aanvalstechnieken van cybercriminelen onder in de drie categorieën: verkennen, het opbouwen van een aanwezigheid en de eerste toegang. Het FortiGuard Labs Global Threat Landscape Report gebruikt dit model als basis voor het beschrijven van de manier waarop cybercriminelen kwetsbaarheden vinden, een kwaadaardige infrastructuur opbouwen en misbruik maken van de kwetsbaarheden van hun slachtoffers. Het rapport biedt wereldwijde en regionale perspectieven en informatie over cyberbedreigingen die zich op zowel IT- als OT-omgevingen richten.
Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs: “Voor cybercriminelen is het allerminst eenvoudig om toegang tot bedrijfsnetwerken te blijven houden en detectie te voorkomen. Dat komt omdat de IT-beveiliging van organisaties steeds geavanceerder wordt. Als reactie hierop moderniseren cybercriminelen hun verkenningstechnieken en voeren ze verwoestende aanvallen uit met cyberbedreigingen die normaliter door staatshackers worden gebruikt. Dat doen zij bijvoorbeeld met wiper-malware. Organisaties die hun complete aanvalsoppervlak hiertegen willen beschermen moeten hun focus richten op de door machine learning aangestuurde aanlevering van real-time bedreigingsinformatie aan alle beveiligingscomponenten. Dit is nodig voor het detecteren van verdachte activiteit en het treffen van gecoördineerde tegenmaatregelen.”
Bron: fortinet.com
Meer info over het darkweb of alle begrippen en vormen van A tot Z
Meer darkweb nieuws
Darkweb en Telegram: Nieuwe fronten in de strijd tegen illegale drugshandel
Reading in 🇬🇧 or another language
Archetyp ontleed: De opkomst van de grootste marktplaats op het darkweb
Reading in 🇬🇧 or another language
Nieuwe darkweb tools omzeilen Google’s red page en versterken phishingaanvallen
Reading in 🇬🇧 or another language
Internationale acties ontmantelen darkweb-marktplaats Sipultie
Reading in 🇬🇧 or another language
De jacht op Bohemia/Cannabia: Een kijken achter de schermen van Darkweb-criminaliteit
In deze podcast bespreken we de recente aanpak van de Nederlandse politie tegen een van de grootste darkweb-markten, Bohemia/Cannabia. Deze markt was een belangrijke hub voor illegale activiteiten, waaronder drugshandel en cybercriminaliteit, met een geschatte maandelijkse omzet van 12 miljoen euro. De politie, met behulp van internationale samenwerking en geavanceerde technische middelen, slaagde erin de markt te ontmantelen en de hoofdbeheerders te arresteren. Daarbij werd 8 miljoen euro aan cryptovaluta in beslag genomen. Deze operatie laat zien dat de politie steeds effectiever darkweb-criminelen kan opsporen, ondanks hun pogingen om anoniem te blijven.
De gevaren van medische datalekken: Het ransomware incident bij MediCheck en de risico’s voor patiënten
Reading in 🇬🇧 or another language