Onderzoek FortiGuard Labs: cybercriminelen maken op grote schaal misbruik van coronacrisis

24 augustus 2020

Fortinet publiceerde onlangs een nieuwe editie van het halfjaarlijkse Global Threat Landscape Report van Fortiguard Labs. De bedreigingsinformatie die FortiGuards Labs in de eerste helft van 2020 verzamelde laat zien cybercriminelen en staatshackers de wereldwijde pandemie massaal aangrepen om wereldwijd een breed scala aan cyberaanvallen uit te voeren. Dit opportunisme resulteerde in een vloedgolf van cyberaanvallen die inspeelden op de angst en onzekerheid rond de coronacrisis en het feit dat thuiswerkers en masse buiten het bedrijfsnetwerk actief waren. Hierdoor werd het digitale aanvalsoppervlak in een klap fors uitgebreid.

Hoewel veel cyberbedreigingen verband hielden met het coronavirus, was er ook sprake van andere invalshoeken. Het aantal ransomware-aanvallen en aanvallen op IoT-apparatuur en operationele technologie (OT) nam  allerminst af. Deze aanvallen krijgen bovendien een veel gerichter en geavanceerder karakter.

Wereldwijd is er sprake van cyberbedreigingen die zich op alle mogelijke sectoren richten, met enige variatie tussen regio’s en verticale markten. Net als in het geval van het coronavirus staken bedreigingen op een specifieke locatie de kop op, om zich vervolgens naar andere delen van de wereld te verspreiden. Dat betekent dat de meeste organisaties met deze bedreiging te maken kunnen krijgen. Maar uiteraard is er sprake van regionale verschillen in infectiepercentages, al naar gelang factoren zoals beleidsregels, procedures en tegenmaatregelen.

Een gedetailleerde samenvatting van het rapport en belangrijke conclusies zijn te vinden in een speciaal blog van Fortinet. Hieronder volgen de belangrijkste bevindingen die in het rapport aan bod komen.

Cybercriminelen springen in op de kansen die wereldwijde ontwikkelingen bieden

Cybercriminelen maakten reeds gebruik van de actualiteiten als basis voor hun social engineering-trucs, maar tilden deze aanpak in de eerste helft van 2020 naar een hoger plan uit. Of het nu ging om opportunistische phishers of staatshackers, cybercriminelen wisten diverse manieren te bedenken om op ongekende schaal misbruik te maken van de coronacrisis. Dat deden ze onder meer met phishing, het besmetten en hacken van zakelijke e-mail, aanvalscampagnes in opdracht van overheden en ransomware-aanvallen. Ze maakten misbruik van het feit dat de pandemie de hele wereld trof en het feit dat het digitale aanvalsoppervlak van organisaties van de ene dag op de andere fors werd uitgebreid. Deze ontwikkelimgen geven aan hoe snel cybercriminelen kunnen schakelen om misbruik te maken van ontwikkelingen die samenlevingen wereldwijd ingrijpend verstoren. 

De netwerkrand krijgt een steeds persoonlijker tintje

De razendsnelle opkomst van thuiswerken zorgde van de ene dag op de andere voor een complete transformatie van bedrijfsnetwerken. Cybercriminelen begonnen vrijwel direct misbruik te maken van dit feit. In de eerste helft van 2020 prijkten pogingen om misbruik te maken van kwetsbaarheden in routers en IoT-apparatuur voor consumenten bovenaan de lijst van detecties door indringerpreventiesystemen. Mirai en Ghost voerden de lijst van botnetdetecties aan. Dit was het  gevolg van de groeiende belangstelling van cybercriminelen voor IoT-producten. Deze ontwikkelingen zijn des te meer opvallend omdat ze aangeven hoezeer de rand van het bedrijfsnetwerk van organisaties naar thuiswerkomgevingen is verlegd. Cybercriminelen proberen toegang tot bedrijfsnetwerken te krijgen door misbruik te maken van apparaten die thuiswerkers kunnen gebruiken om toegang tot bedrijfsnetwerken te zoeken. Vooral in Europa, Noord-Amerika en Oceanië komt de botnet Mirai  veel voor. Het aandeel organisaties die verkeer hebben gedetecteerd dat verband houdt met een van de vele varianten van Mirai is in Afrika 70.7%, Azië 63.3%, Europa 85.6%, Latijns Amerika 78.0%, Midden-Oosten 68.3%, Noord-Amerika 84.8% en in Oceanië 85.3%.

Browsers vormen eveneens een doelwit

De overstap naar thuiswerken vertegenwoordigde voor cybercriminelen een unieke kans om argeloze gebruikers op diverse manieren aan te vallen. Zo werd voor phishingcampagnes veel vaker gebruikgemaakt van website met malware. Een malwarefamilie die alle varianten van phishing-sites en andere scams omvatte prijkte zelfs bovenaan de list van malwaredetecties voor januari en februari en verdween pas in juni uit de top vijf. Dit kan erop wijzen dat cybercriminelen hun aanvallen uitvoeren op momenten waarop gebruikers het meest kwetsbaar en onoplettend zijn, namelijk wanneer ze thuis op het internet surfen. Browsers vormen eveneens geliefde doelwitten van cybercriminelen, en misschien wel meer dan ooit nu zij hun pijlen op thuiswerkers richten.

Ransomware is een blijvertje

Bekende bedreigingen zoals ransomware hebben de afgelopen zes maanden geen tekenen van verzwakking laten zien. E-mailberichten over het coronavirus werden gebruikt als lokaas voor diverse ransomware-campagnes. Maar er werd ook andere ransomware ontdekt die de master boot record (MBR) van computers herschreef om vervolgens alle data daarop  te versleutelen. Verder was er sprake van een opleving van het aantal ransomware-incidenten waarbij cybercriminelen niet alleen data van organisaties versleutelden, maar die ook stalen. Ze dreigden om die op grote schaal te verspreiden als er geen losgeld werd betaald.  Deze ontwikkeling zorgt voor een aanzienlijk hogere kans dat organisaties waardevolle data en/of gevoelige informatie kwijtraken bij toekomstige ransomware-aanvallen. Wereldwijd is geen enkele sector bespaard gebleven voor ransomware-activiteit. Uit de onderzoeksgegevens blijkt dat er vijf sectoren het zwaarst door ransomware-aanvallen werden getroffen. Dit waren de telecomsector, het onderwijs, de overheid, manager security service providers (MSSP’s) en technologiesector. Helaas wijzen de opkomst van de verkoop van Ransomware-as-a-Service (RaaS) en  nieuwe ransomware-varianten erop dat de wereld nog lang niet van ransomware is verlost.

OT-aanvallen na Stuxnet

In juni was sprake van het tiende lustrum van Stuxnet, een aanval die de ontwikkeling van cyberaanvallen op, en de beveiligigng van operationele technologie in een stroomversnelling bracht. Nu, ettelijke jaren later, vormen OT-netwerken nog altijd een doelwit van cybercriminelen. De  EKANS ransomware die eerder dit jaar de kop opstak laat zien dat cybercriminelen hun ransomware-aanvallen naar OT-omgevingen blijven uitbreiden. Het cyberspionagekader Ramsay, dat is ontwikkeld voor het verzamelen en naar buiten smokkelen van gevoelige bestanden die in geïsoleerde of sterk afgescheiden netwerken liggen opgeslagen, is een goed voorbeeld van de manier waarop cybercriminelen op zoek gaan naar nieuwe manieren om dit soort netwerken binnen te dringen. Het aantal  cyberbedreigingen dat  het gemunt heeft op supervisory control en data acquisition (SCADA)- systemen en andersoortige industriële besturingssystemen ligt lager dan het aantal IT-bedreigingen, maar dat doet niets af aan de relevantie van deze trend. Omdat OT-netwerken nu steeds meer met internet zijn verbonden, zijn ze  kwetsbaarder voor aanvallen. Uit ons onderzoek blijkt dat maar liefst 74% van de OT-organisaties het afgelopen jaar te maken had met een malware-aanval.

Trends rond misbruik van kwetsbaarheden

Een analyse van de CVE List wijst uit dat het aantal gepubliceerde kwetsbaarheden de afgelopen jaren is toegenomen. Dit geeft de aanzet tot discussies over het op prioriteit indelen van patches. Hoewel 2020 op koers lijkt om het record te breken voor het aantal kwetsbaarheden dat in een jaar tijd werd gepubliceerd, is er voor de kwetsbaarheden die dit jaar openbaar zijn gemaakt tegelijkertijd sprake van het laagste aantal gevallen van misbruik dat ooit is opgetekend in de 20-jarige geschiedenis van de CVE-lijst. Kwetsbaarheden die in 2018 werden gepubliceerd stonden daarentegen aan de basis van het hoogste aantal gevallen van misbruik (65%). Bij ruim een kwart van alle cyberaanvallen op organisaties werd een poging gedaan om misbruik goed te maken van tot vijftien jaar oude kwetsbaarheden uit de CVE-llijst met behulp van hackingtools.

Beveiliging van naar thuiswerkomgevingen uitgebreide netwerkrand is van levensbelang

Als gevolg van het toenemende gebruik van connectiviteit en apparaten en de aanhoudende noodzaak van thuiswerken groeit het digitale aanvalsoppervlak. Organisaties moeten zich voorbereiden door concrete maatregelen te nemen om hun gebruikers , apparaten en informatie op dezelfde manieren te beschermen  als ze dat binnen het bedrijfsnetwerk doen. Organisaties die onderzoek naar cybercriminaliteit doen en  bedreigingsinformatie verzamelen en beschikbaar stellen kunnen hierbij helpen door uitgebreid inzicht te bieden in het veranderende bedreigingslandschap, cybercriminelen en aanvalstechnieken ter aanvulling op de beveiligingskennis  van organisaties. De noodzaak om oplossingen van thuiswerkers te beveiligen om veilige toegang te kunnen bieden tot bedrijfskritische bronnen en de beveiliging naar de hele organisatie uit te breiden is nog nooit zo groot geweest. Alleen een beveiligingsplatform dat is ontwikkeld om uitgebreid overzicht op, en bescherming van het complete aanvalsoppervlak te bieden, met inbegrip van alle netwerken, applicaties, multi-cloudomgevingen en mobiele omgevingen, kan effectieve bescherming bieden voor de snel veranderende netwerken van vandaag.

Derek Manky, Chief, Security Insights & Global Threat Alliances bij FortiGuard Labs: “In de eerste zes maanden van 2020 was er sprake van een ongekende opleving In cyberaanvallen. De enorme schaal en snelle ontwikkeling van aanvalsmethoden geven blijk van de snelle en flexibele manier waarop cybercriminelen hun strategieën waanpassen om optimaal misbruik te maken van de actuele ontwikkelingen rond de wereldwijde pandemie. Het is inmiddels duidelijker dan ooit dat organisaties hun beveiligingsstrategie moeten aanpassen om bescherming te bieden voor de complete netwerkrand, die zich inmiddels naar thuiswerkomgevingen uitstrekt. Het is van cruciaal belang dat organisaties duurzame maatregelen treffen om hun thuiswerkers te beschermen en hen te helpen om hun apparaten en thuisnetwerk veilig te houden. Het valt daarnaast aan te raden om voor cybervirussen dezelfde strategieën te hanteren als voor virussen in de echte wereld. Digitale social distancing draait om het herkennen van risico’s en daar afstand van te bewaren.”

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This