Fortinet: ‘Cybercriminelen maken misbruik van de politieke en economische realiteit’

4 maart 2020

Fortinet publiceerde vandaag zijn laatste FortiGuard Labs Global Threat Landscape Report. Het rapport over het vierde kwartaal voor 2019 wijst erop dat cybercriminelen niet alleen misbruik proberen te maken van elke kwetsbaarheid die zij in digitale infrastructuren aantreffen, maar ook optimaal gebruikmaken van de wereldwijde economische en politieke realiteit om succes te boeken.Hoewel het aantal bedreigingen per geografische regio kan verschillen, hebben cyberaanvallen wereldwijd één ding gemeen: ze vertonen een sterk geavanceerd en geautomatiseerd karakter. Het is overal ter wereld noodzakelijk voor organisaties om cyberhygiëne prioriteit te geven, omdat cyberbedreigingen zich sneller en op grotere schaal dan ooit verspreiden.
Een gedetailleerde bespreking van het onderzoek en belangrijke aanbevelingen zijn te vinden in de blog van Fortinet. Hieronder volgt een overzicht van de belangrijkste onderzoeksbevindingen die in het rapport aan bod komen.

1) Charming kitten spioneert

Volgens het rapport was er in het vierde kwartaal van 2019 in diverse regio’s sprake van een intensieve bedreigingsactiviteit die herleidbaar was naar Charming Kitten. Die groep vertegenwoordigt een advanced persistent threat (APT) en wordt in verband gebracht met Iran. Charming Kitten is sinds 2014 actief en wordt verdacht van diverse cyberspionagecampagnes. Recente activiteiten doen vermoeden dat het zich inmiddels ook toelegt op verkiezingsbeïnvloeding. Zo werd Charming Kitten verdacht van een reeks gerichte aanvallen op e-mailaccounts die in het kader van de Amerikaanse presidentsverkiezingen werden gebruikt. Daarnaast gebruikte Charming Kitten vier nieuwe aanvalstactieken om slachtoffers ertoe aan te zetten gevoelige informatie prijs te geven.

2) IoT-apparaten vormen broeihaard van beveiligingsrisico’s

IoT-apparaten, zoals draadloze bewakingscamera’s, maken nog altijd gebruik van software met kwetsbaarheden. In veel IoT-apparaten worden componenten en kant-en-klare software van andere leveranciers ingebed die soms vatbaar zijn voor exploits (misbruik van kwetsbaarheden). De wildgroei aan IoT-apparaten en het gebrek aan mogelijkheden om ze te patchen vertegenwoordigen een groeiend probleem. Het geeft aan hoe moeilijk het is voor fabrikanten om voor een veilige toevoerketen te zorgen. De afwezigheidvan patches of onwetendheid van het bestaan daarvan, het grote aantal kwetsbaarheden in IoT-apparatuur en de gedocumenteerde pogingen van cybercriminelen om deze apparaten als zombies in te lijven bij IoT-botnets zorgden ervoor dat IoT-exploits goed waren voor het op twee na grootste detectievolume.

3) Oudere bedreigingen plaveien weg voor nieuwe bedreigingen

Organisaties staan onder constante druk om nieuwe bedreigingen de baas te blijven. Hierdoor vergeten ze soms dat oudere kwetsbaarheden geen uiterste houdbaarheidsdatum hebben. Cybercriminelen zullen er blijven gebruik van maken.

Een goed voorbeeld hiervan is EternalBlue. Die malware is in de loop der tijd door cybercriminelen aangepast om misbruik te kunnen maken van ernstige en veel voorkomende kwetsbaarheden. EternalBlue is ingezet voor diverse aanvalscampagnes. De belangrijkste daarvan waren de aanvallen met de WannaCry- en NotPetya-ransomware. In mei 2019 werd een patch uitgebracht voor de kwetsbaarheid BlueKeep, die misbruikt kan worden voor de verspreiding van internetwormen die zich even snel en op dezelfde schaal kunnen verspreiden als WannaCry en NotPetya. Afgelopen kwartaal stak een nieuwe versie van de EternalBlue Downloader Trojan de kop op die in staat is om misbruik te maken van BlueKeep. Gelukkig vertoont deze in het veld gedetecteerde versie nog een aantal gebreken. Hierdoor crashen getroffen apparaten voordat ze volledig zijn opgestart.

Gezien de traditionele ontwikkelingscyclus voor malware is de kans groot dat vastberaden cybercriminelen in de nabije toekomst met een volledig functionele versie van deze potentieel verwoestende malware voor de dag komen. Hoewel er sinds mei 2019 een patch voor BlueKeep beschikbaar is, hebben maar al te veel organisaties hun kwetsbare systemen nog altijd niet met die beveiligingsupdate bijgewerkt. De groeiende belangstelling van cybercriminelen voor EternalBlue en BlueKeep zou organisaties eraan moeten herinneren dat ze hun systemen voldoende moeten patchen om ze tegen die twee bedreigingen te beschermen.

4) Nieuwe patronen in wereldwijde spamverkeer

Spam blijft een groot probleem voor bedrijven en particulieren. Het rapport voor het vierde kwartaal laat het volume spamverkeer tussen landen zien. Het brengt visueel in kaart hoeveel spam er vanuit elk land is verzonden en hoeveel er door elk land is ontvangen. Het leeuwendeel van het spamverkeer lijkt de economische en politieke ontwikkelingen te volgen. Zo zijn de meest actieve ‘handelspartners’ van de Verenigde Staten op het gebied van spam Polen, Rusland, Duitsland, Japan en Brazilië. Oost-Europa is ’s werelds grootste exporteur van spam. De meeste andere landen met intensief uitgaand spamverkeer bevinden zich in deelgebieden van Azië. Landen in Europese deelgebieden voeren de lijst met een negatief spamsaldo aan, gevolgd door Afrika, Noord-Amerika en Latijns-Amerika. Dat betekent dat die landen meer spam ontvangen dan verzenden.

5) In de voetsporen van cybercriminelen treden om toekomstige aanvallen te voorspellen

Een analyse van gedetecteerde bedreigingen per regio laat niet alleen zien welke systemen werden bestookt, maar wijst ook uit op welke systemen cybercriminelen zich in de toekomst zouden kunnen richten. Dat zouden ze kunnen doen omdat genoeg van hun aanvallen vroeg of laat succesvol bleken, of simpelweg omdat er in bepaalde regio’s intensiever gebruik wordt gemaakt van een bepaalde technologie.

Die vlieger gaat echter niet altijd op. Zo is het grootste deel van ThinPHP-instances te vinden in China. Dat land kent volgens de cijfers van shodan.io bijna tien keer zoveel installaties als de Verenigde Staten. Ervan uitgaande dat bedrijven in elke regio hun software ongeveer even snel patchen zou het aantal detecties in de regio Asia Pacific veel hoger moeten uitvallen als een botnet het internet afspeurde naar kwetsbare ThinkPHP-instances. In werkelijkheid resulteerde een recente exploit in heel de regio Asia Pacific in slechts 6% meer detecties dan in Noord-Amerika.

Als we op dezelfde manier naar malwaredetecties kijken, blijkt dat de meeste aanvallen met malware gericht zijn op Visual Basic for Applications (VBA)-macro’s. De reden hiervoor is waarschijnlijk dat die aanvallen nog altijd succesvol zijn. Over het algemeen zullen aanvallen die niet effectief zijn niet langdurig in groten getale worden gedetecteerd. Omgekeerd geldt dat een significant aantal detecties van een specifieke cyberbedreiging betekent dat veel organisaties eraan ten prooi vallen.

Noodzaak van geïntegreerde en geautomatiseerde beveiliging

Door de wildgroei van applicaties en verbonden apparaten ontstaan miljarden nieuwe netwerkranden die stuk voor stuk moeten worden beschermd. Organisaties krijgen daarnaast te maken met steeds geavanceerdere aanvallen die misbruik maken van het groeiende aanvalsoppervlak. Sommige van die aanvallen maken gebruik van artificiële intelligentie en machine learning. Om de groeiende netwerken te beveiligen moeten organisaties overstappen op een beveiligingsaanpak die datastromen naar de nieuwe netwerkranden, systemen, apparaten en bedrijfskritische applicaties beschermt. Dat is alleen mogelijk met een cybersecurity-platform dat voorziet in uitgebreid overzicht op, en bescherming van het complete aanvalsoppervlak, met inbegrip van alle apparaten, gebruikers, mobiele endpoints, multi-cloud-omgevingen en SaaS-infrastructuren.

Filip Savat, country manager Fortinet Belux, zegt in een toelichting: “Cybercriminelen hebben tot nu toe een flinke voorsprong gehad in de cyberwapenwedloop. Dit is het gevolg van het toenemende tekort aan beveiligingstalent en het groeiende digitale aanvalsoppervlak. Cybercriminelen combineren het verrassingselement met tactieken als social engineering om misbruik te maken van argeloze gebruikers. Om de steeds geavanceerdere en sterker geautomatiseerde cyberbedreigingen de baas te kunnen blijven moeten organisaties dezelfde technologieën en strategieën als cybercriminelen hanteren voor netwerkbescherming. Dat vraagt om een geïntegreerd beveiligingsplatform dat gebruikmaakt van door AI aangestuurde bedreigingsinformatie en draaiboeken. Dat is de enige manier om voor effectieve bescherming van, en overzicht op de complete digitale infrastructuur te zorgen.”

 

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This