Van botnets tot phishing: het bedreigingslandschap van 2020

In 2020 werd de cyber­se­cu­rity-sector verrast door onvoor­ziene veran­de­ringen in netwerk­struc­turen en aanvals­stra­te­gieën. Terwijl het coro­na­virus wereld­wijd om zich heen blijft grijpen en zowel mensen als orga­ni­sa­ties treft, hebben we te maken met een intenser en veel­zij­diger bedrei­gings­land­schap dan ooit tevoren. Veel bedrijven hebben te maken gekregen met opera­ti­o­nele tegenslag als gevolg van de nood­ge­dwongen overstap op thuis­werken. Hierdoor hebben ze de grootste moeite om voldoende middelen beschik­baar stellen voor het afslaan van de onop­hou­de­lijke stroom van cyberbedreigingen.

Met het oog op het voort­du­rend veran­de­rende karakter van moderne cyber­be­drei­gingen moeten zakelijke besluit­vor­mers voort­du­rend de laatste bedrei­gings­in­for­matie bijhouden en inves­teren in de bescher­ming van een steeds dyna­mi­scher en uitge­breider aanvals­op­per­vlak. Zeker gezien het feit dat cyber­cri­mi­nelen zich razend­snel aan de nieuwe ontwik­ke­lingen aanpassen om te profi­teren van laag­han­gend fruit.

Apparaten van thuiswerkers vormen een springplank naar het bedrijfsnetwerk

Cyber­se­cu­rity-teams richtten hun focus vroeger op het bieden van bescher­ming tegen cyber­aan­vallen op appli­ca­ties en netwerken. Dit kwam neer op het versterken van verbonden IT-apparaten die zich veilig binnen de netwer­k­rand bevonden. Die tijd is echter voorbij. De pandemie heeft geleid tot een expo­nen­tiële groei van het gebruik van IoT-appa­ra­tuur en een toene­mende afhan­ke­lijk­heid van het netwerk van thuis­wer­kers en hun voor consu­menten bestemde apparaten, zoals routers en modems. En cyber­cri­mi­nelen zagen meteen hun voordeel.

De opleving in thuis­werken gaat gepaard met een sterk toene­mende aandacht voor de bevei­li­ging van de eigen smartphones, tablets, laptops en pc’s die thuis­wer­kers gebruiken om een verbin­ding te maken met het bedrijfs­net­werk. Voor cyber­cri­mi­nelen verte­gen­woor­digt dit een uitge­lezen kans om misbruik van deze apparaten te maken om een aanwe­zig­heid binnen bedrijfs­net­werken te verkrijgen (of in ieder geval in deze apparaten zelf). Consu­men­ten­ap­pa­ra­tuur is makkelijk te hacken. Niet voor niets wijzen onder­zoe­kers op de vorming van groot­scha­lige botnets van besmette en gehackte apparaten. Deze botnets kunnen worden gebruikt om DDoS-aanvallen op bedrijven uit te voeren of om malware te verspreiden.

Ransomware-aanvallen steken steeds slimmer in elkaar

Aanvallen met ransom­ware verte­gen­woor­digen van meet af aan een groot probleem voor bedrijven, maar nemen de afgelopen maanden fors in aantal toe. Dit resul­teert in hoge kosten als gevolg van downtime en andere bedrijfs­schade. Waarom heeft dit type bedrei­ging zo’n lange adem, en waarom levert ransom­ware de laatste tijd zoveel meer problemen op? De reden hiervoor is dat het steeds makke­lijker wordt om aan ransom­ware te komen. Mensen met kwade bedoe­lingen kunnen die simpelweg aanschaffen via markt­plaatsen op het darknet. Er wordt zelfs ransom­ware-as-a-service aange­boden. Deze platforms voor het uitvoeren van ransom­ware-aanvallen zijn spot­goed­koop en relatief makkelijk inzetbaar.
Er is ransom­ware ontdekt die was verstopt in e‑mailbijlagen en docu­menten die betrek­king hadden op het coro­na­virus. Deze vorm van malware krijgt een steeds geavan­ceerder karakter, waardoor cyber­cri­mi­nelen hun voor­sprong blijven behouden. Drie goede voor­beelden zijn de ransom­ware-varianten NetWalker, Ransom­ware-GVZ en CoViper. Van dit trio baart CoViper de meeste zorgen. Deze ransom­ware herschrijft namelijk het hoofd­op­start­be­stand (master boot record; MBR) van computers alvorens data te versleutelen.

Cyber­cri­mi­nelen stapten daarnaast over op een nieuwe techniek: het verplaatsen van bedrijfs­kri­ti­sche data naar publieke servers. Ze dreigen om die voor iedereen toegan­ke­lijk te maken als orga­ni­sa­ties weigeren om losgeld te betalen. Deze aanvals­tech­niek geeft slacht­of­fers geen kans om hun compu­ter­sys­temen eigen­handig te herstellen in plaats van tegemoet te komen aan de losgeldeis van hun digitale afpersers.

Machine learning versnelt de ontwikkeling van phishing

Phishing-aanvallen hadden in het verleden een tamelijk simpel karakter. Deze scams maken vaak gebruik van social engi­nee­ring-tactieken voor het buitmaken van aanmel­dings­ge­ge­vens van niets­ver­moe­dende gebrui­kers. Cyber­cri­mi­nelen versturen doorgaans een e‑mail die urgent overkomt of een aantrek­ke­lijk voor­uit­zicht biedt. Daarmee sporen ze hun doelwit aan om op een link te klikken naar een website die malware instal­leert of hen vraagt om gevoelige infor­matie in te voeren.
Werk­ne­mers van de meeste orga­ni­sa­ties zijn inmiddels beter ingelicht over de gevaren van phishing en gaan voor­zich­tiger om met verdachte links. Cyber­cri­mi­nelen gooien het daarom over een andere boeg. Ze richten hun pijlen nu op onvol­doende bevei­ligde thuis­net­werken en begin­nende thuis­wer­kers die onvol­doende bevei­li­gings­trai­ning hebben genoten. Het doel is om persoon­lijke infor­matie van deze thuis­wer­kers buit te maken om aanvallen te kunnen uitvoeren op het bedrijfs­net­werk waarmee die zijn verbonden.

Veel cyber­cri­mi­nelen maken daarnaast gebruik van machine learning. Met deze tech­no­logie kunnen ze razend­snel e‑mailberichten opstellen, testen en verspreiden. Ze maken daarbij gebruik van over­tui­gende visuele content die emoti­o­nele onrust bij de ontvanger teweeg­brengt. Cyber­cri­mi­nelen verge­lijken zelfs verschil­lende versies van hun phishing-mails en kiezen de variant die het meeste effect heeft. Er is bijvoor­beeld sprake van phishing-aanvallen waarbij cyber­cri­mi­nelen hun slacht­offer hulp aanbieden bij het aanvragen van finan­ciële noodhulp in het kader van de corona­crisis. In andere gevallen doen cyber­cri­mi­nelen zich voor als mede­werker van een speciale helpdesk voor thuiswerkers. 

De meeste van deze phishing-aanvallen maakt gebruik van kwaad­aar­dige code zoals ransom­ware, virussen en remote access trojans (RAT’s) die cyber­cri­mi­nelen toegang verschaffen tot endpoints. En van daaraf kunnen ze misbruik maken van kwets­baar­heden in het remote desktop protocol (RDP).

Een waar­schu­wing voor bevei­li­gings­pro­fes­si­o­nals: de browser ontpopt zich in 2020 tot een belang­rijk ingangs­ka­naal voor malware, en dat zal waar­schijn­lijk tot ver in 2021 zo blijven. Dit is waar­schijn­lijk te wijten aan de afname van het inter­net­ver­keer van bedrijfs­net­werken, dat norma­liter grondig werd geïn­spec­teerd en opge­schoond. Cyber­cri­mi­nelen hebben hun aanvals­me­thoden bewust gewijzigd om munt te kunnen slaan uit het groeiende data­ver­keer vanuit thuis­net­werken dat de nu minder sterk bevei­ligde netwerken over­spoelt. Orga­ni­sa­ties moeten hun thuis­wer­kers daarom voorzien van de voor­lich­ting en training die ze nodig hebben om hun thuis­net­werk (en daarmee het bedrijfs­net­werk) te effectief bevei­ligen. Bedrijven zullen thuis­wer­kers daarnaast moeten voorzien van aanvul­lende oplos­singen, zoals nieuwe endpoint detection & response (EDR)-applicaties die in staat zijn om geavan­ceerde bedrei­gingen te detec­teren en blokkeren.

Het bedreigingslandschap van morgen

De corona­crisis heeft bevestigd wat veel bevei­li­gings­pro­fes­si­o­nals al enige tijd hebben geroepen: effec­tieve cyber­se­cu­rity vraagt om voort­du­rende waak­zaam­heid en bevei­li­ging die in staat is om zich aan de laatste aanvals­tech­nieken aan te passen. Hoewel de bevei­li­ging van meet af aan een toppri­o­ri­teit had moeten zijn, is het nu wellicht een goed moment voor orga­ni­sa­ties om te inves­teren in uitge­brei­dere, geavan­ceer­dere en makke­lijker aanpas­bare bevei­li­gings­op­los­singen. Zeker nu cyber­cri­mi­nelen nieuwe aanvals­me­thoden gebruiken om de privé­ap­pa­ra­tuur van thuis­wer­kers te gebruiken als spring­plank naar het bedrijfs­net­werk. Het versterken van de bevei­li­ging van systemen en netwerken op externe locaties zou dan ook bovenaan de bedrijfs­agenda moeten staan.

Hoe de wereld om ons heen ook verandert, de beste manier om je te beschermen tegen de voort­du­rend veran­de­rende kwaad­aar­dige acti­vi­teit is om een strategie te hanteren die in uitge­breide en geïn­te­greerde cyber­be­vei­li­ging voorziet. Wat daarbij niet mag ontbreken, is onaf­ge­broken toegang tot actuele bedrei­gings­in­for­matie en cyber­se­cu­rity-training. Fortinet komt aan deze behoeften tegemoet door orga­ni­sa­ties uitge­breid inzicht in het bedrei­gings­land­schap te verschaffen. Dat doen we met geavan­ceerde tech­no­lo­gieën voor bedrei­gings­de­tectie en uitge­breide rappor­tage over de laatste bedrei­gingstrends door het wereld­wijde team van bevei­li­gings­ana­listen van FortiGuard Labs.