Fortinet: ‘Cybercriminelen maken misbruik van de politieke en economische realiteit’

Fortinet publi­ceerde vandaag zijn laatste FortiGuard Labs Global Threat Landscape Report. Het rapport over het vierde kwartaal voor 2019 wijst erop dat cyber­cri­mi­nelen niet alleen misbruik proberen te maken van elke kwets­baar­heid die zij in digitale infra­struc­turen aantreffen, maar ook optimaal gebruik­maken van de wereld­wijde econo­mi­sche en politieke realiteit om succes te boeken.Hoewel het aantal bedrei­gingen per geogra­fi­sche regio kan verschillen, hebben cyber­aan­vallen wereld­wijd één ding gemeen: ze vertonen een sterk geavan­ceerd en geau­to­ma­ti­seerd karakter. Het is overal ter wereld nood­za­ke­lijk voor orga­ni­sa­ties om cyber­hy­giëne prio­ri­teit te geven, omdat cyber­be­drei­gingen zich sneller en op grotere schaal dan ooit verspreiden.
Een gede­tail­leerde bespre­king van het onderzoek en belang­rijke aanbe­ve­lingen zijn te vinden in de blog van Fortinet. Hieronder volgt een overzicht van de belang­rijkste onder­zoeks­be­vin­dingen die in het rapport aan bod komen. 

1) Charming kitten spioneert

Volgens het rapport was er in het vierde kwartaal van 2019 in diverse regio’s sprake van een inten­sieve bedrei­gings­ac­ti­vi­teit die herleid­baar was naar Charming Kitten. Die groep verte­gen­woor­digt een advanced persis­tent threat (APT) en wordt in verband gebracht met Iran. Charming Kitten is sinds 2014 actief en wordt verdacht van diverse cyber­spi­o­na­ge­cam­pagnes. Recente acti­vi­teiten doen vermoeden dat het zich inmiddels ook toelegt op verkie­zings­be­ïn­vloe­ding. Zo werd Charming Kitten verdacht van een reeks gerichte aanvallen op e‑mailaccounts die in het kader van de Ameri­kaanse presi­dents­ver­kie­zingen werden gebruikt. Daarnaast gebruikte Charming Kitten vier nieuwe aanval­st­ac­tieken om slacht­of­fers ertoe aan te zetten gevoelige infor­matie prijs te geven.

2) IoT-apparaten vormen broeihaard van beveiligingsrisico’s

IoT-apparaten, zoals draadloze bewakingscamera’s, maken nog altijd gebruik van software met kwets­baar­heden. In veel IoT-apparaten worden compo­nenten en kant-en-klare software van andere leve­ran­ciers ingebed die soms vatbaar zijn voor exploits (misbruik van kwets­baar­heden). De wildgroei aan IoT-apparaten en het gebrek aan moge­lijk­heden om ze te patchen verte­gen­woor­digen een groeiend probleem. Het geeft aan hoe moeilijk het is voor fabri­kanten om voor een veilige toevoer­keten te zorgen. De afwe­zig­heidvan patches of onwe­tend­heid van het bestaan daarvan, het grote aantal kwets­baar­heden in IoT-appa­ra­tuur en de gedo­cu­men­teerde pogingen van cyber­cri­mi­nelen om deze apparaten als zombies in te lijven bij IoT-botnets zorgden ervoor dat IoT-exploits goed waren voor het op twee na grootste detectievolume.

3) Oudere bedreigingen plaveien weg voor nieuwe bedreigingen

Orga­ni­sa­ties staan onder constante druk om nieuwe bedrei­gingen de baas te blijven. Hierdoor vergeten ze soms dat oudere kwets­baar­heden geen uiterste houd­baar­heids­datum hebben. Cyber­cri­mi­nelen zullen er blijven gebruik van maken.

Een goed voorbeeld hiervan is Eter­n­al­Blue. Die malware is in de loop der tijd door cyber­cri­mi­nelen aangepast om misbruik te kunnen maken van ernstige en veel voor­ko­mende kwets­baar­heden. Eter­n­al­Blue is ingezet voor diverse aanvals­cam­pagnes. De belang­rijkste daarvan waren de aanvallen met de WannaCry- en NotPetya-ransom­ware. In mei 2019 werd een patch uitge­bracht voor de kwets­baar­heid BlueKeep, die misbruikt kan worden voor de versprei­ding van inter­net­wormen die zich even snel en op dezelfde schaal kunnen verspreiden als WannaCry en NotPetya. Afgelopen kwartaal stak een nieuwe versie van de Eter­n­al­Blue Down­lo­ader Trojan de kop op die in staat is om misbruik te maken van BlueKeep. Gelukkig vertoont deze in het veld gede­tec­teerde versie nog een aantal gebreken. Hierdoor crashen getroffen apparaten voordat ze volledig zijn opgestart.

Gezien de tradi­ti­o­nele ontwik­ke­lings­cy­clus voor malware is de kans groot dat vast­be­raden cyber­cri­mi­nelen in de nabije toekomst met een volledig func­ti­o­nele versie van deze poten­tieel verwoes­tende malware voor de dag komen. Hoewel er sinds mei 2019 een patch voor BlueKeep beschik­baar is, hebben maar al te veel orga­ni­sa­ties hun kwetsbare systemen nog altijd niet met die bevei­li­ging­sup­date bijge­werkt. De groeiende belang­stel­ling van cyber­cri­mi­nelen voor Eter­n­al­Blue en BlueKeep zou orga­ni­sa­ties eraan moeten herin­neren dat ze hun systemen voldoende moeten patchen om ze tegen die twee bedrei­gingen te beschermen.

4) Nieuwe patronen in wereldwijde spamverkeer

Spam blijft een groot probleem voor bedrijven en parti­cu­lieren. Het rapport voor het vierde kwartaal laat het volume spam­ver­keer tussen landen zien. Het brengt visueel in kaart hoeveel spam er vanuit elk land is verzonden en hoeveel er door elk land is ontvangen. Het leeu­wen­deel van het spam­ver­keer lijkt de econo­mi­sche en politieke ontwik­ke­lingen te volgen. Zo zijn de meest actieve ‘handels­part­ners’ van de Verenigde Staten op het gebied van spam Polen, Rusland, Duitsland, Japan en Brazilië. Oost-Europa is ’s werelds grootste exporteur van spam. De meeste andere landen met intensief uitgaand spam­ver­keer bevinden zich in deel­ge­bieden van Azië. Landen in Europese deel­ge­bieden voeren de lijst met een negatief spamsaldo aan, gevolgd door Afrika, Noord-Amerika en Latijns-Amerika. Dat betekent dat die landen meer spam ontvangen dan verzenden.

5) In de voetsporen van cybercriminelen treden om toekomstige aanvallen te voorspellen

Een analyse van gede­tec­teerde bedrei­gingen per regio laat niet alleen zien welke systemen werden bestookt, maar wijst ook uit op welke systemen cyber­cri­mi­nelen zich in de toekomst zouden kunnen richten. Dat zouden ze kunnen doen omdat genoeg van hun aanvallen vroeg of laat succesvol bleken, of simpelweg omdat er in bepaalde regio’s inten­siever gebruik wordt gemaakt van een bepaalde technologie.

Die vlieger gaat echter niet altijd op. Zo is het grootste deel van ThinPHP-instances te vinden in China. Dat land kent volgens de cijfers van shodan​.io bijna tien keer zoveel instal­la­ties als de Verenigde Staten. Ervan uitgaande dat bedrijven in elke regio hun software ongeveer even snel patchen zou het aantal detecties in de regio Asia Pacific veel hoger moeten uitvallen als een botnet het internet afspeurde naar kwetsbare ThinkPHP-instances. In werke­lijk­heid resul­teerde een recente exploit in heel de regio Asia Pacific in slechts 6% meer detecties dan in Noord-Amerika.

Als we op dezelfde manier naar malwa­re­de­tec­ties kijken, blijkt dat de meeste aanvallen met malware gericht zijn op Visual Basic for Appli­ca­tions (VBA)-macro’s. De reden hiervoor is waar­schijn­lijk dat die aanvallen nog altijd succesvol zijn. Over het algemeen zullen aanvallen die niet effectief zijn niet langdurig in groten getale worden gede­tec­teerd. Omgekeerd geldt dat een signi­fi­cant aantal detecties van een speci­fieke cyber­be­drei­ging betekent dat veel orga­ni­sa­ties eraan ten prooi vallen.

Noodzaak van geïntegreerde en geautomatiseerde beveiliging

Door de wildgroei van appli­ca­ties en verbonden apparaten ontstaan miljarden nieuwe netwer­k­randen die stuk voor stuk moeten worden beschermd. Orga­ni­sa­ties krijgen daarnaast te maken met steeds geavan­ceer­dere aanvallen die misbruik maken van het groeiende aanvals­op­per­vlak. Sommige van die aanvallen maken gebruik van arti­fi­ciële intel­li­gentie en machine learning. Om de groeiende netwerken te bevei­ligen moeten orga­ni­sa­ties over­stappen op een bevei­li­gings­aanpak die data­stromen naar de nieuwe netwer­k­randen, systemen, apparaten en bedrijfs­kri­ti­sche appli­ca­ties beschermt. Dat is alleen mogelijk met een cyber­se­cu­rity-platform dat voorziet in uitge­breid overzicht op, en bescher­ming van het complete aanvals­op­per­vlak, met inbegrip van alle apparaten, gebrui­kers, mobiele endpoints, multi-cloud-omge­vingen en SaaS-infrastructuren.

Filip Savat, country manager Fortinet Belux, zegt in een toelich­ting: “Cyber­cri­mi­nelen hebben tot nu toe een flinke voor­sprong gehad in de cyber­wa­pen­wed­loop. Dit is het gevolg van het toene­mende tekort aan bevei­li­gings­ta­lent en het groeiende digitale aanvals­op­per­vlak. Cyber­cri­mi­nelen combi­neren het verras­sings­ele­ment met tactieken als social engi­nee­ring om misbruik te maken van argeloze gebrui­kers. Om de steeds geavan­ceer­dere en sterker geau­to­ma­ti­seerde cyber­be­drei­gingen de baas te kunnen blijven moeten orga­ni­sa­ties dezelfde tech­no­lo­gieën en stra­te­gieën als cyber­cri­mi­nelen hanteren voor netwerk­be­scher­ming. Dat vraagt om een geïn­te­greerd bevei­li­gings­plat­form dat gebruik­maakt van door AI aange­stuurde bedrei­gings­in­for­matie en draai­boeken. Dat is de enige manier om voor effec­tieve bescher­ming van, en overzicht op de complete digitale infra­struc­tuur te zorgen.”