Van botnets tot phishing: het bedreigingslandschap van 2020

10 november 2020

In 2020 werd de cybersecurity-sector verrast door onvoorziene veranderingen in netwerkstructuren en aanvalsstrategieën. Terwijl het coronavirus wereldwijd om zich heen blijft grijpen en zowel mensen als organisaties treft, hebben we te maken met een intenser en veelzijdiger bedreigingslandschap dan ooit tevoren. Veel bedrijven hebben te maken gekregen met operationele tegenslag als gevolg van de noodgedwongen overstap op thuiswerken. Hierdoor hebben ze de grootste moeite om voldoende middelen beschikbaar stellen voor het afslaan van de onophoudelijke stroom van cyberbedreigingen.

Met het oog op het voortdurend veranderende karakter van moderne cyberbedreigingen moeten zakelijke besluitvormers voortdurend de laatste bedreigingsinformatie bijhouden en investeren in de bescherming van een steeds dynamischer en uitgebreider aanvalsoppervlak. Zeker gezien het feit dat cybercriminelen zich razendsnel aan de nieuwe ontwikkelingen aanpassen om te profiteren van laaghangend fruit.

Apparaten van thuiswerkers vormen een springplank naar het bedrijfsnetwerk

Cybersecurity-teams richtten hun focus vroeger op het bieden van bescherming tegen cyberaanvallen op applicaties en netwerken. Dit kwam neer op het versterken van verbonden IT-apparaten die zich veilig binnen de netwerkrand bevonden. Die tijd is echter voorbij. De pandemie heeft geleid tot een exponentiële groei van het gebruik van IoT-apparatuur en een toenemende afhankelijkheid van het netwerk van thuiswerkers en hun voor consumenten bestemde apparaten, zoals routers en modems. En cybercriminelen zagen meteen hun voordeel.

De opleving in thuiswerken gaat gepaard met een sterk toenemende aandacht voor de beveiliging van de eigen smartphones, tablets, laptops en pc’s die thuiswerkers gebruiken om een verbinding te maken met het bedrijfsnetwerk. Voor cybercriminelen vertegenwoordigt dit een uitgelezen kans om misbruik van deze apparaten te maken om een aanwezigheid binnen bedrijfsnetwerken te verkrijgen (of in ieder geval in deze apparaten zelf). Consumentenapparatuur is makkelijk te hacken. Niet voor niets wijzen onderzoekers op de vorming van grootschalige botnets van besmette en gehackte apparaten. Deze botnets kunnen worden gebruikt om DDoS-aanvallen op bedrijven uit te voeren of om malware te verspreiden.

Ransomware-aanvallen steken steeds slimmer in elkaar

Aanvallen met ransomware vertegenwoordigen van meet af aan een groot probleem voor bedrijven, maar nemen de afgelopen maanden fors in aantal toe. Dit resulteert in hoge kosten als gevolg van downtime en andere bedrijfsschade. Waarom heeft dit type bedreiging zo’n lange adem, en waarom levert ransomware de laatste tijd zoveel meer problemen op? De reden hiervoor is dat het steeds makkelijker wordt om aan ransomware te komen. Mensen met kwade bedoelingen kunnen die simpelweg aanschaffen via marktplaatsen op het darknet. Er wordt zelfs ransomware-as-a-service aangeboden. Deze platforms voor het uitvoeren van ransomware-aanvallen zijn spotgoedkoop en relatief makkelijk inzetbaar.
Er is ransomware ontdekt die was verstopt in e-mailbijlagen en documenten die betrekking hadden op het coronavirus. Deze vorm van malware krijgt een steeds geavanceerder karakter, waardoor cybercriminelen hun voorsprong blijven behouden. Drie goede voorbeelden zijn de ransomware-varianten NetWalker, Ransomware-GVZ en CoViper. Van dit trio baart CoViper de meeste zorgen. Deze ransomware herschrijft namelijk het hoofdopstartbestand (master boot record; MBR) van computers alvorens data te versleutelen.

Cybercriminelen stapten daarnaast over op een nieuwe techniek: het verplaatsen van bedrijfskritische data naar publieke servers. Ze dreigen om die voor iedereen toegankelijk te maken als organisaties weigeren om losgeld te betalen. Deze aanvalstechniek geeft slachtoffers geen kans om hun computersystemen eigenhandig te herstellen in plaats van tegemoet te komen aan de losgeldeis van hun digitale afpersers.

Machine learning versnelt de ontwikkeling van phishing

Phishing-aanvallen hadden in het verleden een tamelijk simpel karakter. Deze scams maken vaak gebruik van social engineering-tactieken voor het buitmaken van aanmeldingsgegevens van nietsvermoedende gebruikers. Cybercriminelen versturen doorgaans een e-mail die urgent overkomt of een aantrekkelijk vooruitzicht biedt. Daarmee sporen ze hun doelwit aan om op een link te klikken naar een website die malware installeert of hen vraagt om gevoelige informatie in te voeren.
Werknemers van de meeste organisaties zijn inmiddels beter ingelicht over de gevaren van phishing en gaan voorzichtiger om met verdachte links. Cybercriminelen gooien het daarom over een andere boeg. Ze richten hun pijlen nu op onvoldoende beveiligde thuisnetwerken en beginnende thuiswerkers die onvoldoende beveiligingstraining hebben genoten. Het doel is om persoonlijke informatie van deze thuiswerkers buit te maken om aanvallen te kunnen uitvoeren op het bedrijfsnetwerk waarmee die zijn verbonden.

Veel cybercriminelen maken daarnaast gebruik van machine learning. Met deze technologie kunnen ze razendsnel e-mailberichten opstellen, testen en verspreiden. Ze maken daarbij gebruik van overtuigende visuele content die emotionele onrust bij de ontvanger teweegbrengt. Cybercriminelen vergelijken zelfs verschillende versies van hun phishing-mails en kiezen de variant die het meeste effect heeft. Er is bijvoorbeeld sprake van phishing-aanvallen waarbij cybercriminelen hun slachtoffer hulp aanbieden bij het aanvragen van financiële noodhulp in het kader van de coronacrisis. In andere gevallen doen cybercriminelen zich voor als medewerker van een speciale helpdesk voor thuiswerkers. 

De meeste van deze phishing-aanvallen maakt gebruik van kwaadaardige code zoals ransomware, virussen en remote access trojans (RAT’s) die cybercriminelen toegang verschaffen tot endpoints. En van daaraf kunnen ze misbruik maken van kwetsbaarheden in het remote desktop protocol (RDP).

Een waarschuwing voor beveiligingsprofessionals: de browser ontpopt zich in 2020 tot een belangrijk ingangskanaal voor malware, en dat zal waarschijnlijk tot ver in 2021 zo blijven. Dit is waarschijnlijk te wijten aan de afname van het internetverkeer van bedrijfsnetwerken, dat normaliter grondig werd geïnspecteerd en opgeschoond. Cybercriminelen hebben hun aanvalsmethoden bewust gewijzigd om munt te kunnen slaan uit het groeiende dataverkeer vanuit thuisnetwerken dat de nu minder sterk beveiligde netwerken overspoelt. Organisaties moeten hun thuiswerkers daarom voorzien van de voorlichting en training die ze nodig hebben om hun thuisnetwerk (en daarmee het bedrijfsnetwerk) te effectief beveiligen. Bedrijven zullen thuiswerkers daarnaast moeten voorzien van aanvullende oplossingen, zoals nieuwe endpoint detection & response (EDR)-applicaties die in staat zijn om geavanceerde bedreigingen te detecteren en blokkeren.

Het bedreigingslandschap van morgen

De coronacrisis heeft bevestigd wat veel beveiligingsprofessionals al enige tijd hebben geroepen: effectieve cybersecurity vraagt om voortdurende waakzaamheid en beveiliging die in staat is om zich aan de laatste aanvalstechnieken aan te passen. Hoewel de beveiliging van meet af aan een topprioriteit had moeten zijn, is het nu wellicht een goed moment voor organisaties om te investeren in uitgebreidere, geavanceerdere en makkelijker aanpasbare beveiligingsoplossingen. Zeker nu cybercriminelen nieuwe aanvalsmethoden gebruiken om de privéapparatuur van thuiswerkers te gebruiken als springplank naar het bedrijfsnetwerk. Het versterken van de beveiliging van systemen en netwerken op externe locaties zou dan ook bovenaan de bedrijfsagenda moeten staan.

Hoe de wereld om ons heen ook verandert, de beste manier om je te beschermen tegen de voortdurend veranderende kwaadaardige activiteit is om een strategie te hanteren die in uitgebreide en geïntegreerde cyberbeveiliging voorziet. Wat daarbij niet mag ontbreken, is onafgebroken toegang tot actuele bedreigingsinformatie en cybersecurity-training. Fortinet komt aan deze behoeften tegemoet door organisaties uitgebreid inzicht in het bedreigingslandschap te verschaffen. Dat doen we met geavanceerde technologieën voor bedreigingsdetectie en uitgebreide rapportage over de laatste bedreigingstrends door het wereldwijde team van beveiligingsanalisten van FortiGuard Labs.

Filip Savat

Filip Savat

Country Manager Fortinet Belux

Pin It on Pinterest

Share This