Toolkits voor cyberaanvallen vormen grootste internetdreiging
21 januari 2011 -
Doordat attack kits toegankelijker en relatief eenvoudiger in gebruik zijn, worden ze ook steeds vaker gebruikt. Dit heeft ervoor gezorgd dat traditionele criminelen, die anders onvoldoende technische kennis zouden hebben, naar cybercrime worden geleid. Dit stelt Symantec in in haar rapport 'Attack Toolkits en Malicious Websites'.
Attack toolkits zijn softwareprogramma’s die zowel door beginners als experts kunnen worden gebruikt voor het faciliteren van wijdverspreide aanvallen op netwerkcomputers. Deze kits stellen de belager in staat eenvoudig diverse vooraf geschreven dreigingen tegen computersystemen te lanceren. Ze maken het ook mogelijk dreigingen aan te passen, om zo opsporing te ontwijken en het aanvalsproces te automatiseren.
Attack kits domineren het landschap De relatieve eenvoud en effectiviteit van attack kits hebben ervoor gezorgd dat zij steeds vaker worden gebruikt voor cybercrime. Deze kits worden nu in het overgrote deel van kwaadaardige internetaanvallen gebruikt. De kit Zeus vormt bijvoorbeeld een grote bedreiging voor kleine bedrijven. Het belangrijkste doel van Zeus is het stelen van bankgegevens. Veel kleine bedrijven hebben helaas minder middelen ingezet voor het beschermen van hun financiële transacties, waardoor zij een hoofddoel vormen voor Zeus.
Winstgevendheid
De winstgevendheid van kwaadaardige internetaanvallen die gebruik maken van Zeus werd in september 2010 nog geïllustreerd door de arrestaties van verschillende cybercriminelen. Naar men zegt, hebben zij gebruik gemaakt van een Zeus botnet om binnen achttien maanden meer dan 70 miljoen dollar te stelen van online bankrekeningen. Nu cyber-aanvallen steeds meer geld opleveren, is de populariteit van attack kits enorm vergroot. Dit heeft daarom ook geleid tot kits die robuuster en geavanceerder zijn. Deze kits worden steeds vaker via een abonnement verkocht en bevatten regelmatige updates, componenten waardoor de mogelijkheden beter benut kunnen worden en ondersteunende diensten. Cybercriminelen gaan steeds professioneler te werk, zo maken zij gebruik van commerciële middelen voor antipiraterij om ervoor te zorgen dat aanvallers niets gebruiken zonder te betalen.
Snellere verspreiding van aanvallen Doordat ontwikkelaars van attack kits innovaties integreren in hun producten, is de snelheid waarmee nieuwe kwetsbaarheden wereldwijd verspreid worden gegroeid. Het is nu vrij eenvoudig om attack kits te updaten, waardoor ontwikkelaars snel codes kunnen toevoegen voor nieuwe kwetsbaarheden. Het gevolg is dat sommige exploitaties nog rondzwerven dagen nadat de daarmee gepaard gaande kwetsbaarheid openbaar wordt. Aanvallers die in staat zijn om gemakkelijk attack kits te updaten met recente exploitaties zijn in staat om zich op potentiële slachtoffers te richten voordat zij de benodigde patches toepassen.
Criminele economie Omdat attack kits steeds eenvoudiger in gebruik zijn, is cybercrime niet langer alleen weggelegd voor diegenen met uitgebreide programmeerkennis. Cybercriminelen kiezen nu een mix van individuen met computerkennis en diegenen die kennis hebben in traditionele criminele activiteiten, zoals het witwassen van geld. Symantec verwacht dat wanneer deze ontwikkeling zich voortzet en een veel grotere groep van criminelen toetreedt tot cybercrime dit zal leiden tot een verhoging in het aantal aanvallen. "In het verleden moesten hackers hun dreigingen helemaal zelf ontwikkelen. Dit complexe proces zorgde ervoor dat er slechts een kleine groep van cybercriminelen bestond," zegt Tom Welling, Sr. Technical Account Manager bij Symantec. "De huidige attack toolkits maken het zelfs voor beginnelingen relatief gemakkelijk om een cyberaanval te ontwikkelen. Wij verwachten daarom op dit gebied steeds meer criminele activiteiten en een grote waarschijnlijkheid dat de gemiddelde gebruiker het slachtoffer zal worden van cybercrime."
Aanvullende feiten - De populariteit en vraag hebben de kosten voor attack kits verhoogd. In 2006 werd WebAttacker, een populaire attack kit verkocht voor vijftien dollar. In 2010 werd de ZeuS 2.0 voor 8.000 dollar aangeboden.
- Secundaire diensten zijn ontstaan om nietsvermoedende gebruikers naar kwaadaardige websites te leiden waar hun computers kunnen worden aangetast. Gebruikte tactieken zijn spam-campagnes, black hat zoekmachine optimalisatie (SEO), het injecteren van codes in legitieme websites en geïnfecteerde advertenties.
- Symantec onderzocht meer dan 310.000 unieke domeinen die kwaadaardig bleken te zijn. Gemiddeld resulteerde dit in de opsporing van meer dan 4,4 miljoen kwaadaardige webpagina’s per maand.
- Van de door Symantec opgespoorde dreigingsactiviteiten op het internet tijdens de onderzoeksperiode, was 61 procent terug te leiden naar attack kits.
- De meest heersende attack kits zijn MPack , Neosploit, ZeuS, Nukesploit P4ck en Phoenix.
- De zoekresultaten die het meest leidde tot kwaadaardige website bezoeken waren de resultaten voor pornografische websites, in totaal gold dit voor 44 procent van de zoektermen.
Afzwakken van aanvallen - Organisaties en eindgebruikers moeten ervoor zorgen dat alle beveiligingssoftware up-to-date is met de patches van de verkoper. Oplossingen voor het beheer van bezittingen en patches kunnen ervoor zorgen dat de systemen flexibel zijn en patches implementeren op systemen die niet up-to-date zijn.
- Organisaties moeten beleid opstellen voor het beperken van het gebruik van browser software en browser plug-ins die de gebruikers binnen de organisatie niet nodig hebben.
- Organisaties kunnen voordelen halen uit het gebruik van oplossingen voor IP black listing en voor reputaties van websites. Websites die bekend staan om het hosten van attack toolkits en daarmee samenhangende bedreigingen kunnen dan geblokkeerd worden.
- Anti-virus en systemen voor inbraakpreventie kunnen worden geïmplementeerd om de exploitatie en installatie van kwetsbare codes op te sporen en te voorkomen.
Vaak ligt het niet aan een beperkte beveiling van de IT maar aan de kennis van de gebruiker. Zolang er gebruikers blijven die onbekende links aanklikken zal dit probleem nooit verdwijnen.
Op mijn werk mail krijg ik ook heel veel SPAM mails van ING, Rabobank et cetera met verkeerde links erin. Meteen weggooien die zooi natuurlijk, maar het blijft wel een grote frustratie elke keer.
Leuk stuk om te lezen, helemaal met het recente gebeuren met Diginotar. Ik zelf zou er bijna paranoide van worden daar alles nu digitaal gaat. Als zelf de overheid aangeedft dat De betrouwbaarheid van honderden overheidswebsites op dit moment niet te garanderen is, helpt dat niet echt bij het vertrouwen :)
Ben benieuwd hoe het nu allemaal verder gaat. Voor de grap moet je de wetsvoorstellen wat betreft internet en internet-privacy eens gaan volgen: SOPA en PIPA... Daar word je als internet ondernemer niet volijk van..