Fortinet onthult vandaag voorspellingen van zijn onderzoeks- en threat intelligence-team FortiGuard Labs voor 2022 en de daaropvolgende jaren. Cybercriminelen blijven innoveren en breiden hun aanvalsmethoden uit om misbruik te maken van nieuwe kwetsbaarheden binnen het aanvalsoppervlak van organisaties. De trend van ‘work from anywhere’ speelt hen daarbij in de kaart.
Cybercriminelen maken grif gebruik van de kansen die worden geboden door edge computing-toepassingen op basis van 5G, thuisnetwerken en zelfs het satellietinternet. FortiGuard Labs voorspelt de toekomstige strategieën van cybercriminelen en reikt aanbevelingen aan die security-professionals helpen om zich voor te bereiden op de cyberaanvallen die komen gaan.
FortiGuard Labs voorspelt dat cybercriminelen meer tijd en moeite zullen gaan besteden aan verkenningen. Dat doen ze om mogelijkheden voor zero day-aanvallen te identificeren en misbruik te maken van kwetsbaarheden in nieuwe technologieën die succesvollere aanvallen mogelijk maken. Helaas zal er ook sprake zijn van een toename van de snelheid waarmee cyberaanvallen worden uitgevoerd. Dat is te wijten aan de groeiende Crime-as-a-Service-markt.
- Ransomware zal nog grotere schade aanrichten: De hoeveelheid crimeware zal groeien, en ransomware zal daarbij aan kop gaan. Cybercriminelen zorgen nu al opzettelijk voor chaos door ransomware te combineren met distributed denial-of-service (DDoS)-aanvallen. Daarmee proberen ze IT-afdelingen te overweldigen, zodat die geen tijd overhouden om de schade van aanvallen te beperken. Cybercriminelen voegen daarnaast een tikkende tijdbom toe in de vorm van wiper-malware. Die kan niet alleen gegevens wissen, maar ook systemen en hardware beschadigen. Dat zet bedrijven onder extra druk om snel losgeld te betalen. Wiper-malware beleeft duidelijk een comeback. Hier werd bijvoorbeeld gebruik van gemaakt voor aanvallen op de Olympische Spelen in Tokio. Gezien de sterke convergentie van aanvalsmethoden en advanced persistent threats (APT’s) is het slechts een kwestie van tijd voordat cybercriminelen vernietigende mogelijkheden zoals wiper-malware aan hun ransomware-toolkits toevoegen. Dat levert gevaren op edge computing-omgevingen, vitale infrastructuren en toevoerketens.
- Cybercriminelen zetten AI in om deepfakes te perfectioneren: Artificial intelligence (AI) wordt al op diverse manieren door security-professionals ingezet, bijvoorbeeld voor het detecteren van afwijkend gedrag dat op een botnetaanval kan duiden. Cybercriminelen doen echter eveneens een beroep op AI voor het in de war sturen van de complexe algoritmes die worden gebruikt om afwijkende activiteit te detecteren. Deepfakes zullen voor groeiende problemen zorgen. Ze maken gebruik van AI om menselijke activiteiten na te bootsen en kunnen worden ingezet voor het optimaliseren van social engineering-aanvallen. En door de komst van geavanceerde AI-applicaties komt de lat om deep fakes te creëren steeds lager te liggen. Dat kan vroeg of laat leiden tot imitaties van gebruikers op basis van spraak en video waarmee cybercriminelen biometrische analyses kunnen omzeilen. Dat levert problemen op voor normaliter veilige vormen van authenticatie zoals spraak- en gezichtsherkenning.
- Meer aanvallen tegen minder voor de hand liggende doelwitten in de toevoerketen: Veel back-endsystemen draaien op Linux, een besturingssysteem dat tot voor kort geen primair doelwit van cybercriminelen vormde. Recentelijk zijn er echter kwaadaardige uitvoerbare bestanden gedetecteerd die op WSL (Windows Subsystem for Linux) waren gericht. Dat is een compatibiliteitslaag van Microsoft waarmee uitvoerbare Linux-bestanden kunnen worden uitgevoerd in Windows 10, Windows 11 en Windows Server 2019. Daarnaast wordt er al botnet-malware ontwikkeld voor Linux-platforms. Dat betekent dat organisaties zich tegen nog meer cyberbedreigingen moeten beschermen en heeft consequenties voor OT- en toevoerketensystemen die op Linux-platforms draaien.
Cybercriminelen richten hun pijlen overal op: digitale wallets, de ruimte en thuisnetwerken
De uitdaging waarvoor security-professionals komen te staan omvat veel meer dan het groeiende aantal cyberbedreigingen en de veranderende aanvalstechnieken. Cybercriminelen speuren het almaar groeiende aanvalsoppervlak af naar nieuwe kwetsbaarheden waar ze misbruik van kunnen maken. Het probleem is dat de netwerken van organisaties zich steeds verder uitbreiden door de opkomst van work from anywhere en nieuwe clouddiensten. En ondertussen nemen leren op afstand en online gaming in populariteit toe in de omgevingen van thuiswerkers. De alomtegenwoordige aanwezigheid van snelle, 24/7 beschikbare verbindingen biedt cybercriminelen volop kansen. Zij zullen aanzienlijk veel tijd en middelen inzetten om misbruik te maken van de nieuwe omgevingen aan de netwerkrand en work from anywhere-omgevingen in plaats van zich tot het core-netwerk te beperken.
- Cybercriminaliteit begeeft zich naar de ruimte: FortiGuard Labs verwacht dat er in 2022 sprake zal zijn van proof of concept (POC)-bedreigingen die zich op satellietnetwerken richten. De belangrijkste doelwitten zijn organisaties die satellietverbindingen gebruiken voor toepassingen die om lage latency vragen, zoals online gaming of de levering van vitale diensten aan veraf gelegen locaties, zoals bouwlocaties, pijplijnen, cruiseschepen en vliegvelden. Het potentiële aanvalsoppervlak wordt vergroot doordat organisaties een beroep doen op satellietnetwerken om eerder onverbonden systemen zoals OT-systemen op afstand te verbinden met hun steeds sterker onderling verbonden netwerken te verbinden. Dat betekent dat er aanvallen met onder meer ransomware zijn te verwachten.
- Hou je hand op je digitale knip: Het kapen van geldoverboekingen wordt steeds moeilijker voor cybercriminelen, omdat financiële instellingen transacties versleutelen en om multi-factor authenticatie (MFA) vragen. Sommige digitale wallets zijn echter minder goed beveiligd. Hoewel wallets van individuele gebruikers niet zoveel opleveren, kan daar verandering in komen nu steeds meer bedrijven gebruik beginnen te maken van digital wallets voor internettransacties. Daarmee is de kans groot dat er meer malware zal worden ontwikkeld om opgeslagen wachtwoorden buit te maken en digitale wallets leeg te plukken.
- Esports vormen ook een doelwit: Esports zijn georganiseerde competities waarin vaak professionele gamers en teams het tegen elkaar opnemen. Dat is een bloeiende industrie die dit jaar op weg is naar een totale omzet van ruim 1 miljard dollar. Esports vormen een aantrekkelijk doelwit voor cybercriminelen. Zij kunnen DDoS-aanvallen, ransomware en social engineering-technieken inzetten om transacties te onderscheppen of losgeld buit te maken. Dat komt omdat esports een interactief karakter hebben, om ononderbroken verbindingen vragen en vaak worden gespeeld vanuit gebrekkig beveiligde thuisnetwerken of omgevingen met een hoge concentratie aan openbare draadloze verbindingen. Gezien de snelgroeiende populariteit van esports en online gaming zullen die in 2022 prominente doelwitten van aanvallen vormen.
Living off the land-technieken vinden een voedingsbodem aan de netwerkrand
Er ontstaan steeds meer netwerkranden als gevolg van het groeiende aantal Internet of Things-apparaten, OT-voorzieningen en slimme, door 5G en AI ondersteunde apparaten die real-time transacties en toepassingen mogelijk maken. Cybercriminelen maken grif gebruik van de kwetsbaarheden die daarmee ontstaan. Dankzij doorbraken op het gebied van rekenkracht kunnen ze op een ongekende schaal geavanceerdere en verwoestende aanvallen ontwikkelen. En nu de capaciteit en mogelijkheden van edge computing-apparaten worden uitgebreid zullen er steeds meer living off the edge-aanvallen worden ontwikkeld. Naarmate de convergentie van IT- en OT-netwerken toeneemt valt er een groeiend aantal aanvallen op operationele technologie te verwachten.
- Cybercriminelen gedijen met living off the land-technieken aan de netwerkrand: Er is een nieuwe bedreiging voor de netwerkrand in opkomst. Living off the land-technieken stellen malware in staat om gebruik te maken van bestaande tools en functionaliteit binnen besmette omgevingen. Daarmee lijken aanvallen en het naar buiten smokkelen van data op normale systeemactiviteiten. Daarmee blijven ze onopgemerkt. De Hafnium-aanvallen op Microsoft Exchange-servers gebruikten die techniek om een langdurige aanwezigheid in domeincontrollers op te bouwen. Living off the land-aanvallen zijn effectief omdat ze gebruikmaken van bonafide tools om kwaadaardige handelingen uit te voeren. Cybercriminelen zouden die technieken kunnen combineren met Edge-Access Trojans (EAT’s) om een langdurige aanwezigheid aan de netwerkrand op te bouwen naarmate edge computing-apparaten meer mogelijkheden en toegangsrechten krijgen. Edge-malware zou de activiteiten en data aan de netwerkrand kunnen monitoren en vervolgens data kunnen stelen of bedrijfskritische systemen en applicaties kapen zonder te worden gedetecteerd.
- Het dark web maakt aanvallen op vitale infrastructuren schaalbaar: Cybercriminelen hebben gemerkt dat ze geld kunnen verdienen door hun malware online aan te bieden als dienst. In plaats van te concurreren met andere partijen die vergelijkbare tools aanbieden breiden ze hun aanbod uit met mogelijkheden voor OT-aanvallen met het oog op de convergentie van OT en IT aan de netwerkrand. Het in gijzeling houden van dergelijke systemen en vitale infrastructuren is een lucratieve bezigheid, maar kan de veiligheid en zelfs levens van mensen op het spel zetten.
Een Security Fabric op basis van een mesh-architectuur
De netwerkrand heeft een gefragmenteerder karakter gekregen, en security-teams werken vaak in isolatie. Tegelijkertijd stappen veel organisaties over op een hybride of multi-cloudmodel. Het samenspel van die factoren biedt cybercriminelen uitgelezen kansen om een holistische, geavanceerde aanpak te hanteren. Een mesh-architectuur maakt het mogelijk om beveiligingsmechanismen te integreren met gedistribueerde netwerken en IT-activa. In combinatie met een Security Fabric-aanpak kunnen organisaties profiteren van een geïntegreerd beveiligingsplatform dat alle IT-activa op locatie, in het datacenter, in de cloud en aan de netwerkrand beschermt. Security-professionals zullen nu vooruit moeten plannen en de kracht van AI en machine learning moeten inzetten om te zorgen voor snellere processen voor preventie, detectie en incidentrespons.
Derek Manky, chief Security Insights & Global Threat Alliances bij FortiGuard Labs, vermeldt: “Cybercriminelen blijven innoveren en beginnen zich steeds meer als advanced persistent threat (APT)-groepen te gedragen. Ze zijn gewapend met zero day kwetsbaarheden, voeren verwoestende aanvallen uit en vullen hun technieken waar nodig aan om hun doelen te bereiken. We zullen zien dat aanvallen zich buiten netwerken bewegen, en zich zelfs naar de ruimte verplaatsen. Cybercriminelen maken misbruik van de gefragmenteerde netwerkrand, geïsoleerde werknemers en tools en het fors uitgebreide aanvalsoppervlak. Overbezette IT-afdelingen zullen overhaast alle mogelijke aanvalskanalen moeten afdichten. Om de onophoudelijke stroom van nieuwe cyberbedreigingen te bestrijden moeten organisaties overstappen op een Security Fabric-platform dat op een mesh-architectuur is gebaseerd.”
Geavanceerde technologieën voor het beschermen endpoints zoals endpoint detection & response (EDR)-oplossingen kunnen helpen met het identificeren van cyberbedreigingen op basis van hun gedrag. Daarnaast is trust network access (ZTNA) van cruciaal belang om veilige toegang tot applicaties te bieden aan mobiele medewerkers en mensen die op afstand leren. Secure SD-WAN is belangrijk voor het beschermen van de veranderende netwerkrand van het WAN. Netwerksegmentatie is en blijft een basisstrategie om te voorkomen dat cybercriminelen zich door een weg door het netwerk kunnen banen. Beveiligingsincidenten blijven daarmee beperkt tot een kleiner deel van het netwerk. Praktisch inzetbare en geïntegreerde bedreigingsinformatie stelt organisaties in staat om real-time bescherming te bieden naarmate de snelheid van cyberaanvallen toeneemt. De uitwisseling van data tussen organisaties in de publieke en private sector kan bijdragen aan effectievere tegenmaatregelen en maakt het mogelijk om toekomstige aanvalstechnieken beter te voorspellen. Het opzoeken van de samenwerking zou prioriteit moeten krijgen om de aanvalsketens van cybercriminelen te verstoren voordat zij hetzelfde proberen te doen.
