Onderzoek Fortinet: bijna 60% van alle cyberbedreigingen deelt minimaal één domein

Onderzoek Fortinet: bijna 60% van alle cyberbedreigingen deelt minimaal één domein

Fortinet Threat Landscape Report: de meeste botnets maken gebruik van een gedeelde infrastructuur

Brussel, 29 mei 2019 - Fortinet® (NASDAQ: FTNT), wereldwijd leider in uitgebreide, geïntegreerde en geautomatiseerde oplossingen voor cyberbeveiliging, maakt de beschikbaarheid bekend van een nieuwe editie van zijn kwartaalpublicatie getiteld Global Threat Landscape Report. Uit de onderzoeksresultaten voor het eerste kwartaal van 2019 blijkt dat cybercriminelen steeds geavanceerder te werk gaan. Ze maken onder meer gebruik van gerichte aanvallen, op maat ontwikkelde ransomware, living-off-the-land (LoTL)-technieken en gedeelde infrastructuren om hun kans op succes te vergroten. Een gedetailleerde bespreking van de Threat Landscape Index en subindexen voor exploits, malware en botnets en belangrijke aanbevelingen voor CISO’s zijn te vinden in een blog van Fortinet.

De belangrijkste bevindingen die in het rapport aan bod komen zijn:

Dataverkeer voor en na hacks: De onderzoekers van Fortinet analyseerden op welke dagen van de week verschillende aanvalsstadia plaatsvonden. Het bleek dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Een vergelijking van het webfiltering-volume voor twee fasen in de killchain tijdens weekdagen en weekends wees uit dat activiteiten in aanloop naar hacks met ruwweg drie keer grotere waarschijnlijkheid tijdens werkdagen plaatsvinden. Wat de activiteit na hacks betreft is er sprake van minder verschillen tussen werkdagen en weekends.

De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker nodig is, zoals het klikken op een link in een phishingmail. Dergelijke acties zijn echter niet vereist voor de communicatie vanuit gehackte omgevingen met de command & control-server van cybercriminelen. Dit soort activiteit kan op elke dag van de week plaatsvinden. 

Cybercriminelen hebben oog voor deze dynamiek en proberen om optimaal gebruik te maken van kansen tijdens werkdagen, waarop sprake is van intensief internetgebruik. Het maken van een onderscheid tussen werkdagen en weekends bij het filteren van het internetverkeer is daarom van groot belang om inzicht te verwerven in de killchain van uiteenlopende cyberaanvallen.

De meeste cyberbedreigingen delen infrastructuren: Een interessante trend is dat een aantal cybercriminelen in sterkere mate gebruikmaakt van gemeenschappelijke infrastructuren in plaats van een dedicated infrastructuur. Bijna 60% van alle cyberbedreigingen deelde minimaal één domein met andere bedreigingen. Dat wijst erop dat de meerderheid van alle botnets gebruikmaakt van een in de praktijk bewezen infrastructuur. IcedID is een goed voorbeeld van deze ‘waarom zou je het zelf ontwikkelen als je het kunt lenen’-aanpak.

Cyberbedreigingen die gebruikmaken van dezelfde infrastructuur doen dat vaak in hetzelfde stadium van de killchain. Het komt maar zelden voor dat een cyberbedreiging gebruikmaakt van een specifiek domein om misbruik te maken van kwetsbaarheden en datzelfde domein later gebruikt voor command & control-verkeer. Dit lijkt erop te wijzen dat de infrastructuur een bepaalde functie binnen aanvalscampagnes vervult. Organisaties die inzicht verwerven in welke cyberbedreigingen infrastructuren delen en tijdens welke fase in de aanvalsketen, kunnen de verdere ontwikkeling van malware en botnets beter voorspellen.

Contentmanagement vraagt om continu beheer: Cybercriminelen hebben de neiging om in zwermen op zoek te gaan naar nieuwe kansen. Ze richten hun pijlen op eerder met succes misbruikte kwetsbaarheden binnen populaire nieuwe technologieën, zodat ze kansen snel en optimaal kunnen benutten. Internetplatforms die het eenvoudiger maken voor consumenten en bedrijven om een internetaanwezigheid op te bouwen zijn bijvoorbeeld een populair doelwit. Deze platforms worden te pas en onpas door cybercriminelen bestookt, zelfs via plug-ins van externe leveranciers. Hieruit blijkt eens temeer hoe belangrijk het is om direct nieuwe patches te installeren en inzicht te verwerven in de laatste ontwikkelingen rond exploits.

Ransomware is nog lang niet van het toneel verdwenen: Gerichte aanvallen lijken het ransomware-aanvallen te hebben overgenomen. Toch is ransomware absoluut nog niet van het toneel verdwenen. Uit diverse aanvallen blijkt dat aanvallers hun ransomware aanpassen om doelwitten met een hoge waarde te bestoken en speciale toegangsrechten tot hun netwerk te verkrijgen.

LockerGoga is een goed voorbeeld van ransomware die voor gerichte en meerfasige aanvallen wordt gebruikt. Qua geavanceerdheid onderscheidt LockerGoga zich nauwelijks van andere ransomware. Maar terwijl de meeste ransomware-varianten verdoezelingstechnieken inzetten om detectie te vermijden, blijkt uit een analyse dat LockerGoga nauwelijks van dit soort technieken gebruikmaakt. Dit doet vermoeden dat er gerichte aanvallen met de ransomware-variant worden uitgevoerd, en dat de makers ervan overtuigd zijn dat hun malware moeilijk te detecteren is.

Een andere vreemde eend in de bijt is Anatova. Zoals de meeste andere ransomware-varianten is het doel van Anatova om zoveel mogelijk bestanden op systemen van slachtoffers te versleutelen. Het enige verschil is dat de ransomware systematisch voorkomt dat bepaalde bestanden worden versleuteld als dat ten koste gaat van de stabiliteit van het besmette systeem. Anatova vermijdt ook computers als er tekenen zijn dat het om honeypots (lokservers) gaat die worden gebruikt om malware te verzamelen en te analyseren.

Uit deze twee voorbeelden blijkt dat beveiligingsprofessionals hun focus moeten blijven richten op het installeren van patches en het maken van back-ups, zodat ze in ieder geval alle ‘huis-tuin-en-keuken’ ransomware kunnen stoppen. Gerichte bedreigingen vragen echter om meer maatwerk op beveiligingsgebied.

Living Off the Land-technieken zijn populair onder hackers: Ook nadat cybercriminelen een netwerk zijn binnengedrongen, blijven ze hun aanvalstechnieken verder ontwikkelen. Daarmee kunnen ze maximaal effect sorteren. Voor dit doel doen ze steeds vaker een beroep op tools voor tweeledig gebruik of voeren ze aanvallen uit via malware-tools die reeds op de systemen van het doelwit zijn geïnstalleerd. Deze ‘living off the land (LoTL)’-tactiek stelt hackers in staat om hun kwaadaardige activiteiten in bonafide processen te verbergen om detectie te vermijden. LoTL-tools maken het bovendien moeilijker om aanvallen tot specifieke hackers te herleiden. Helaas kunnen cybercriminelen een beroep doen op een breed scala aan bonafide tools om aanvallen uit te voeren en zich in het volle zicht te verbergen. Beveiligingsprofessionals doen er dus goed aan om de toegang tot beheertools zoveel mogelijk in te perken en alle activiteit binnen de infrastructuur in logbestanden vast te laten leggen.

De noodzaak van een dynamische en proactieve inzet van bedreigingsinformatie
Organisaties kunnen zich pas effectief beschermen tegen geavanceerde bedreigingen en geautomatiseerde aanvallen als ze bedreigingsinformatie op dynamische en proactieve wijze inzetten binnen hun hele netwerk. Deze kennis maakt het mogelijk om trends in aanvallen op het digitale aanvalsoppervlak te signaleren en best practices voor de beveiliging op prioriteit in te delen op basis van de actuele doelwitten van cybercriminelen. Als bedreigingsinformatie niet in real time wordt toegepast op elke beveiligingsvoorziening, boet die informatie fors aan waarde in. Alleen een uitgebreide, geïntegreerde en geautomatiseerde security fabric biedt de snelheid en schaalbaarheid die nodig zijn om de complete infrastructuur veilig te houden, van het IoT tot de netwerkrand en van de kern van het netwerk tot alle cloud-omgevingen.

Phil Quade, chief information security officer bij Fortinet
“Onze onderzoeksbevindingen wijzen helaas uit dat cybercriminelen de strategieën en aanvalstechnieken van staatshackers kopiëren. Ze richten hun pijlen op dezelfde netwerken en nieuwe apparaten. Organisaties moeten hun beveiligingsstrategie herzien om die toekomstbestendiger te maken en cyberbedreigingen beter af te kunnen slaan. Dit vraagt om een meer wetenschappelijke benadering van cybersecurity en een effectieve toepassing van de basisprincipes op het gebied van beveiliging. Het omarmen van een security fabric-aanpak met micro- en macrosegmentatie en de inzet van automatisering en machine learning kan organisaties enorm helpen om cybercriminelen het nakijken te geven.”

Over het rapport en de Threat Landscape Index
Het Fortinet Threat Landscape Report is een kwartaalpublicatie die wereldwijde en regionale perspectieven biedt op het actuele bedreigingslandschap. Het vormt de neerslag van de informatie die FortiGuard Labs in het eerste kwartaal van 2019 verzamelde via het omvangrijke wereldwijde sensornetwerk van Fortinet. De Fortinet Threat Landscape Index (TLI) maakt deel uit van het rapport en brengt de aantallen, regelmaat en ontwikkelingen in kaart voor drie belangrijke en elkaar aanvullende aspecten van het bedreigingslandschap: exploits, malware en botnets.

Aanvullende informatie

  • Lees de blog van Fortinet voor nadere informatie over dit onderzoek en een link naar het volledige Fortinet Threat Landscape Report.
  • Raadpleeg de Fortinet Threat Landscape Index en subindexen voor informatie over de ontwikkelingen rond botnets, malware en exploits in het eerste kwartaal van 2019.
  • Lees de wekelijkse Threat Briefs voor een gedetailleerdere analyseren van actuele bedreigingen en gebeurtenissen.
  • Kom meer te weten over FortiGuard Labs en de FortiGuard Security Services.

Over Fortinet
Fortinet (NASDAQ: FTNT) beschermt ’s werelds grootste ondernemingen, internetproviders en overheidsorganisaties. Het biedt organisaties intelligente, naadloze bescherming van hun groeiende aanvalsoppervlak en stelt hen in staat om tegemoet te komen aan de steeds hogere eisen die aan hun grenzeloze netwerk worden gesteld, nu en in de toekomst. Alleen de Fortinet Security Fabric-architectuur is in staat om compromisloze beveiliging te bieden als oplossing voor de meest prangende uitdagingen op beveiligingsgebied, of het nu gaat om mobiele, netwerk-, applicatie- of cloudomgevingen. Fortinet heeft wereldwijd de meeste beveiligingsappliances verkocht. Meer dan 375.000 klanten vertrouwen op Fortinet voor effectieve bescherming van hun organisatie. Kom meer te weten op http://www.fortinet.com, het blog van Fortinet en FortiGuard Labs. 

Over Evoke

Scoren in de pers boost sales en Evoke helpt bedrijven hierbij. Samen met de klant halen we nieuws uit hun onderneming om dit onder de aandacht van de media te brengen. In de vorm van een persbericht, klantengetuigenis of opiniestuk, of via een interview of persconferentie, verstrekken we het nieuws duidelijk en gebruiksklaar aan de juiste journalist(en). Zo leest of leert het brede publiek in een geloofwaardig kader over onze klanten in de krant, op de radio of op televisie.

Evoke
Witte Patersstraat 4
1040 Brussel