Fortinet Threat Landscape report: Aanvalsverkeer bereikt hoogste punt ooit in tweede kwartaal 2019
Cybercriminelen maken gebruik van steeds slimmere technieken om detectie te omzeilen
Diegem, 22 augustus 2019 - Fortinet® (NASDAQ: FTNT), wereldwijd leider in uitgebreide, geïntegreerde en geautomatiseerde oplossingen voor cyberbeveiliging, maakt de beschikbaarheid bekend van het Global Threat Landscape Report voor het tweede kwartaal van 2019.
Volgens de Threat Landscape Index, een onderdeel van het rapport, bereikte het aanvalsverkeer in het tweede kwartaal van 2019 een recordhoogte. Er was sprake van een stijging van bijna 4% ten opzichte van het voorgaande jaar. Dit was het gevolg van toenemende activiteit op het gebied van malware en exploits (misbruik van kwetsbaarheden). Een gedetailleerde bespreking van de Threat Landscape Index en de subindexen voor exploits, malware en botnets, compleet met aanbevelingen voor CISO’s, is te vinden op de blog van Fortinet.
Andere hoogtepunten van het rapport:
Cybercriminelen hanteren steeds slimmere technieken om beveiliging te omzeilen
Veel moderne virussen en andere cyberbedreigingen maakten reeds gebruik van functionaliteiten om detectiemechanismen te omzeilen. Cybercriminelen hanteren echter steeds geavanceerdere technieken om hun aanvallen verborgen te houden.
Een recente spamcampagne toont aan hoe cybercriminelen deze technieken verder optimaliseren om beveiligingsprofessionals te slim af te zijn. De campagne maakte gebruik van een phishingmail met een bijlage in de vorm van een Excel-document die met behulp van een kwaadaardige macro omgevormd was tot een cyberwapen. De macro bevatte functies om beveiligingstools te deactiveren, op willekeurige wijze opdrachten uit te voeren, geheugenproblemen te veroorzaken en ervoor te zorgen dat de kwaadaardige code enkel op Japanse systemen zou worden uitgevoerd. Er werd specifiek gezocht naar een xIDate-variabele, iets wat nog nooit eerder was geobserveerd.
Een ander voorbeeld is een variant van de banking trojan Dridex. Deze variant zorgt ervoor dat de namen en hashcodes van bestanden worden gewijzigd telkens wanneer het slachtoffer zich aanmeldt. Dit maakt het bijzonder lastig om de malware op geïnfecteerde hostsystemen te detecteren.
Het toenemende gebruik van technieken om detectiemechanismen te omzeilen, wijst eens te meer op de noodzaak van gelaagde beveiliging en gedragsgebaseerde bedreigingsdetectie.
Aanvallen onder de radar met een langetermijnfocus
De infostealermalware Zegost vormde de spil in een recente spear phishingcampagne. Net als andere infostealers is het belangrijkste doel van Zegost om informatie te verzamelen en die naar buiten te smokkelen. Maar in tegenstelling tot andere infostealers maakt Zegost gebruik van unieke technieken om onder de radar te blijven. De malware verwijderde bijvoorbeeld logbestanden. Een dergelijke ‘witwasmethode’ wordt niet in reguliere malware aangetroffen. Daarnaast maakte Zegost ook gebruik van een omzeilingstechniek die de infostealer on hold zette tot en met 14 februari 2019. Pas na deze datum trad zijn infectieroutine in werking.
De cybercriminelen achter Zegost maken bovendien gebruik van diverse exploits om een verbinding met hun doelwit te maken en die verbinding in stand te houden. Deze cyberbedreiging heeft daardoor een veel duurzamer karakter dan de meeste malware die momenteel de ronde doet.
Ransomware wordt steeds vaker ingezet voor gerichte aanvallen
Voor ransomware is er sprake van een merkbare verschuiving van massale, opportunistische aanvallen naar gerichte aanvallen op organisaties die geacht worden over voldoende geld of redenen te beschikken om losgeld te betalen. In sommige gevallen voerden cybercriminelen uitgebreide verkenningen uit alvorens ransomware te installeren op zorgvuldig geselecteerde systemen.
Een voorbeeld hiervan is de ransomwarevariant RobbinHood. Deze schakelt Windows services uit die versleuteling van data voorkomen en verbreekt de verbinding met alle netwerkshares om het systeem van het slachtoffer te isoleren.
Een nieuwe ransomwarevariant genaamd Sodinokibi vormt een nieuwe bedreiging voor organisaties. Deze variant verschilt qua functionaliteit niet noemenswaardig met de meeste andere ransomware die wordt aangetroffen. Het zorgwekkende is echter dat Sodinokibi gebruikmaakt van een recent ontdekte kwetsbaarheid die het mogelijk maakt om op afstand willekeurige code uit te voeren.
De toename van het aantal gedetecteerde kwetsbaarheden in het Remote Desktop Protocol (RDP) zoals BlueKeep wijst erop dat diensten voor toegang op afstand de deur openzetten voor cybercriminelen. Deze kwetsbaarheden kunnen onder meer worden gebruikt om ransomware te verspreiden.
Welke aanvalstechniek er ook door cybercriminelen wordt gebruikt, ransomware blijft een serieuze bedreiging voor organisaties. Daarom dienen zij een hogere prioriteit toe te kennen aan patching en voorlichting op het gebied van informatiebeveiliging.
Het groeiende digitale aanvalsoppervlak biedt cybercriminelen nieuwe kansen
In het tweede kwartaal was er sprake van toenemende kwaadaardige activiteit rond industriële besturingssystemen. Er werden onder meer aanvallen uitgevoerd op systemen die omgevingscondities, beveiligingscamera’s en veiligheidssystemen bewaken. In 1% van alle organisaties bleek een malwarevariant actief die zich richtte op oplossingen voor het beheer van industriële gebouwen. Dit lijkt op het eerste gezicht misschien niet veel, maar het is een hoger percentage dan wat er normaal voor ICS- of SCADA-systemen wordt geobserveerd.
Bedrijven en consumenten maken gebruik van steeds meer smart apparatuur. Die trok naar verhouding altijd minder aandacht van cybercriminelen dan hun industriële tegenhangers, maar daar lijkt nu verandering in te komen.
De onderzoeksresultaten laten zien dat cybercriminelen op zoek zijn naar nieuwe mogelijkheden om de controle over te nemen van slimme apparaten. Aan de beveiliging hiervan wordt minder prioriteit toegekend dan aan andere apparatuur omdat ze buiten het traditionele IT-beheer vallen. Dit kan ernstige gevolgen hebben. Dat geldt zeker in gevallen van telewerk, waarbij veilige toegang van essentieel belang is.
Filip Savat, country manager Fortinet Belux
“Cybercriminelen maken gebruik van een steeds breder scala aan slimme aanvalstechnieken. Ze gebruiken snelheid en connectiviteit in hun voordeel. Beveiligingsprofessionals zouden hetzelfde moeten doen om effectievere maatregelen tegen cyberbedreigingen te nemen. Een security fabric-benadering die voorziet in netwerksegmentatie, integratie van beveiligingsoplossingen, praktisch inzetbare bedreigingsinformatie, automatisering en machine learning is van cruciaal belang voor een succesvolle beveiliging.”
Over het rapport en de Threat Landscape Index
Het Fortinet Threat Landscape Report is een kwartaalpublicatie die wereldwijde en regionale perspectieven biedt op het actuele bedreigingslandschap. Het vormt de neerslag van de informatie die FortiGuard Labs in het tweede kwartaal van 2019 verzamelde via het omvangrijke wereldwijde sensornetwerk van Fortinet. De Fortinet Threat Landscape Index (TLI) maakt deel uit van het rapport en brengt de aantallen, regelmaat en ontwikkelingen in kaart voor drie belangrijke en elkaar aanvullende aspecten van het bedreigingslandschap: exploits, malware en botnets.
Over Fortinet
Fortinet beschermt ’s werelds grootste ondernemingen, internetproviders en overheidsorganisaties. Het biedt organisaties intelligente, naadloze bescherming van hun groeiende aanvalsoppervlak en stelt hen in staat om tegemoet te komen aan de steeds hogere eisen die aan hun grenzeloze netwerk worden gesteld, nu en in de toekomst. Alleen de Fortinet Security Fabric-architectuur is in staat om compromisloze beveiliging te bieden als oplossing voor de meest prangende uitdagingen op beveiligingsgebied, of het nu gaat om mobiele, netwerk-, applicatie- of cloudomgevingen. Fortinet heeft wereldwijd de meeste beveiligingsappliances verkocht. Meer dan 415,000 klanten vertrouwen op Fortinet voor effectieve bescherming van hun organisatie. Kom meer te weten op http://www.fortinet.com, de blog van Fortinet en FortiGuard Labs.