Aantal malware- en exploit-aanvallen bereikt recordhoogte

Het aanvalsverkeer heeft in het tweede kwartaal van 2019 een recordhoogte bereikt. Er is sprake van een stijging van bijna 4 procent ten opzichte van dezelfde periode vorig jaar. Vooral veroorzaakt door een toename op het gebied van malware en exploits.

Dit blijkt uit de onlangs gepubliceerde kwartaalpublicatie van Fortinet’s Global Threat Landscape Report, die wereldwijde en regionale perspectieven biedt op het actuele bedreigingslandschap.

Omzeilen van detectiemechanismen

Veel moderne virussen en andere cyberbedreigingen maken inmiddels gebruik van de functionaliteit voor het omzeilen van detectiemechanismen. Volgens het rapport hanteren cybercriminelen steeds vaker geavanceerdere technieken om hun aanvallen verborgen te houden. Ook optimaliseren ze deze om beveiligingsprofessionals te slim af te zijn.

In een recente spamcampagne werd gebruik gemaakt van een phishing-mail met een bijlage in de vorm van een Excel-document. De spreadsheet was met behulp van een kwaadaardige macro omgevormd tot een cyberwapen. De macro bevatte functies die ten doel hadden beveiligingstools te deactiveren en op willekeurige wijze opdrachten uit te voeren. Bovendien moest het geheugenproblemen veroorzaken en ervoor te zorgen dat kwaadaardige code louter op Japanse systemen zou worden uitgevoerd. Opvallend is dat er specifiek werd gezocht naar een xIDate-variabele, iets wat nog nooit eerder was gezien.

Dridex

Bovendien maakt een variant van de banking trojan Dridex het bijzonder lastig om de malware op geïnfecteerde host-systemen te detecteren. Deze trojan zorgt er namelijk voor, dat de namen en hashcodes van bestanden elke keer wanneer het slachtoffer zich aanmeldt, worden gewijzigd. Dit soort technieken, gericht op het omzeilen van detectiemechanismen, geven maar weer eens de noodzaak aan van gelaagde beveiliging en gedragsgebaseerde bedreigingsdetectie.

Zegost

Ook de zogeheten infostealer-malware Zegost vormde de spil in een recente spearphishing-campagne. Zegost verzamelt informatie op een systeem en smokkelt deze naar buiten. In tegenstelling tot andere infostealers maakt Zegost gebruik van unieke technieken om onder de radar te opereren. Zo maakt de malware gebruik van de functionaliteit voor het verwijderen van logbestanden, een ‘witwasmethode’ die niet in reguliere malware wordt aangetroffen. Bovendien plaatst Zegost aanvallen in de ijskast en stelt pas op een  later tijdstip zijn infectieroutine in werking.

Cybercriminelen die achter Zegost zouden zitten, maken gebruik van diverse exploits om een verbinding met hun doelwit te maken en deze in stand te houden. Dat alles geeft deze cyberbedreiging een veel duurzamer karakter, dan de meeste malware die momenteel verspreid wordt.

Meer gerichte aanvallen

Er is een merkbare verschuiving van massale, opportunistische aanvallen naar meer gerichte aanvallen op organisaties die geacht worden over het voldoende geld of reden te beschikken om losgeld te betalen. Veelal overheidsinstellingen en onderwijssystemen. Cybercriminelen voeren eerst uitgebreide verkenningen uit alvorens ransomware te installeren op zorgvuldig geselecteerde systemen. Iets dat de kans op succes vergroot. Zo schakelt de ransomware-variant RobbinHood Windows-services uit, die versleuteling van data voorkomen en de verbinding met alle netwerkshares verbreken om het systeem van het slachtoffer te isoleren. 

Ook Sodinokibi lijkt een nieuwe bedreiging voor organisaties te vormen. Deze ransomware maakt gebruikt van een recent ontdekte kwetsbaarheid, die het mogelijk maakt op afstand willekeurige code uit te voeren. Bovendien wijst een toename van het aantal gedetecteerde kwetsbaarheden in het Remote Desktop Protocol (RDP), zoals BlueKeep, dat diensten voor toegang op afstand de deur onbedoeld openzetten voor cybercriminelen. 

Industriële besturingssystemen

Het tweede kwartaal van 2019 was er sprake van toenemende kwaadaardige activiteit rond industriële besturingssystemen. Zo werden er onder meer aanvallen uitgevoerd op systemen voor het bewaken van de omgevingscondities, beveiligingscamera’s en veiligheidssystemen. Bij 1 procent van de organisaties bleek een malware-variant actief te zijn, die zich richtte op oplossingen voor het beheer van industriële gebouwen. Op het eerste gezicht een vrij laag percentage, maar vele malen hoger dan normaliter gezien bij ICS- of SCADA-systemen.

IoT-apparatuur

Verder is ook het Internet of Things (IoT) en de toename van de daarbij behorende smart apparatuur een walhalla voor cybercriminelen. Onderzoeksresultaten tonen aan dat cybercriminelen naar nieuwe mogelijkheden zoeken om IoT-apparaten over te nemen. Een grote kans van slagen, gezien er door het gemis van traditionele IT-beheer minder prioriteit wordt toegekend aan de beveiliging ervan.

“Cybercriminelen maken gebruik van een steeds breder scala aan slimme aanvalstechnieken. Ze gebruiken snelheid en connectiviteit in hun voordeel. Beveiligingsprofessionals zouden hetzelfde moeten doen om effectievere maatregelen tegen cyberbedreigingen te nemen. Een security fabric-benadering die voorziet in netwerksegmentatie en integratie van beveiligingsoplossingen. Maar ook praktisch inzetbare bedreigingsinformatie, automatisering en machine learning is van cruciaal belang voor succesvolle beveiliging”, aldus Vincent Zeebregts, country manager Fortinet Nederland.

 

Gerelateerd: Zorgsector kwetsbaar voor cyberdreigingen