Techsector belangrijkste doelwit cybercriminelen

Gepubliceerd op 20 mei 2020 om 08:30
Techsector belangrijkste doelwit cybercriminelen

Malware wordt complexer. Dat moet blijken uit het securityrapport van NTT. De software die wordt gebruikt om bedrijven wereldwijd aan te vallen wordt ook steeds vaker geautomatiseerd.

Cybercriminelen innoveren

Cybercriminelen innoveren ook, dat moeten we concluderen uit het veiligheidsrapport van NTT over 2019. "De 'dark side' heeft veel middelen en beschikt over onderzoekslabo's, net zoals wij", zegt Stefaan Hinderyckx, senior vice president security Europe NTT Ltd. daarover in een call die Data News bijwoonde. Die innovatie ligt onder meer in IoT en automatisering.

Malware complexer

Zo valt op dat malware steeds complexer wordt. "Enkele jaren geleden zag je vaak malware die bestond uit bijvoorbeeld een keylogger. Nu zijn er veel meer 'multi-use' malwares die verschillende kwetsbaarheden en methodes bevatten om te proberen binnen te dringen", aldus Rob Kraus, die aan het hoofd staat het NTT Security Global Threat Intelligence Center (GTIC). Hij merkt daarbij op dat, net als veel bedrijven en beveiligers, ook de hackers zelf hun software gaan automatiseren. Zo'n 21% van de malware die NTT detecteerde bevatte bijvoorbeeld een scanner voor kwetsbaarheden.

Botnet als automatische piloot

En dan zijn er nog de botnets. Bekende botnets als Mirai, IoTroop en Echobot werken grotendeels op automatische piloot. Eens de malware op een systeem staat, gaat ze zelf op zoek naar kwetsbaarheden om zich door het netwerk te verspreiden. Want ja, Mirai en aanverwanten bestaan nog. Het botnet dat in 2016 een deel van het internet wist plat te leggen door een dns-provider uit te schakelen, is daarna niet verdwenen, integendeel. "De broncode van het Mirai botnet werd online gelekt", zegt Kraus. Daardoor wordt het makkelijker voor anderen om een gelijkaardig botnet in elkaar te steken.

Techsector belangrijkste doelwit

Uit de cijfers blijkt verder dan het vooral de online aanwezigheid van bedrijven is die in de eerste plaats aangevallen wordt, iets wat wel logisch is. Meer dan de helft van alle aanvallen in 2019 hadden specifieke apps (33%) of webapplicaties (22%) tot doelwit. Twintig procent van de aanvallen was gericht op content management suites als WordPress, Joomla, NoneCMS en Drupal, terwijl 28% naar technologieën ging die websites ondersteunen. Denk daarbij aan software als ColdFusion and (vooral) Apache Struts.

Bij de sectoren is de techsector wereldwijd de meest populaire om te proberen aan te vallen (25%), gevolgd door overheden (16%). Dat laatste is volgens NTT deels te wijten aan de huidige geopolitieke situatie. Wereldwijd staat vervolgens de financiële sector op drie, met 15% van alle geregistreerde aanvallen.

Benelux

Die cijfers zien er lichtjes anders uit voor de Benelux. Bij ons registreert de techsector nog altijd de meeste aanvallen, met 33%. Hier staat echter Transport en Distributie op 2, met 31%, en Manufacturing op drie, met 22%. De top vijf wordt in de Benelux afgerond met de farmaceutische industrie (6%) en zakelijke diensten (4%).

NTT keek daarnaast ook naar het soort activiteiten die werden opgepikt. In EMEA is dat vooral wat het bedrijf 'reconaissance' noemt. Het gaat dan bijvoorbeeld om het scannen naar kwetsbaarheden. Dat verkennen neemt in EMEA 40% van de observaties in, en in de Benelux zelfs 50%. Andere veel gebruikte aanvalstypes in Benelux zijn gericht op specifieke diensten (18%), en wederom op webapplicaties (15%).

Het bedrijf noteert in zijn rapport voor de Benelux tot slot nog de populairste bug. Die eer gaat naar CVE-2018-15454, een kwetsbaarheid in Cisco-apparatuur. Met 50% van de gerichte aanvallen is dat de kwetsbaarheid die het vaakst als doelwit geldt in onze regio.

Ransomware populair

De techsector krijgt dus wereldwijd een kwart van de gedetecteerde aanvallen te verwerken. Van die aanvallen was 31% gericht op specifieke applicaties, terwijl 25% van de aanvallen in de techsector bestonden uit DoS/DDoS-aanvallen.

De technologiesector had ook het hoogste aantal ransomware-gevallen. Zo'n negen procent van alle gedetecteerde dreigingen in deze sector was aan ransomware toe te schrijven. Bij andere sectoren blijft dat in het algemeen onder 4%. Nog een opvallend detail: van die ransomware is 88% een variant van WannaCry. De malware, die in 2017 het wereldnieuws haalde, wordt nog altijd gebruikt, en lijkt dan ook nog altijd te werken.

Oudere kwetsbaarheden

Over het algemeen valt op dat oudere kwetsbaarheden een belangrijk doelwit blijven. We zagen eerder al in een rapport van US-CERT dat oude kwetsbaarheden blijven misbruikt worden, omdat er dan wel patches voor bestaan, maar organisaties die niet altijd installeren.

Het 2020 global threat intelligence report werd gebaseerd op data van 2019, dus van voor de lockdown. NTT baseert zich hiervoor op de logs en aanvallen die zijn eigen klanten hebben gezien, naast informatie uit R&D centers en de wereldwijde securitygemeenschap.

2020 Global Threat Intelligence Report Full Technical Report
PDF – 2,3 MB 440 downloads
GTIR Executive Guide
PDF – 6,6 MB 458 downloads

Bron: NTTDatanews / Els Bellens