2 september 2015 -
Intel Security publiceerde gisteren zijn McAfee Labs Threats Report: August 2015 dat ingaat op malware voor grafische processors, methoden die cybercriminelen gebruiken om data weg te sluizen en een terugblik op hoe het dreigingslandschap de afgelopen vijf jaar geëvolueerd is.
McAfee Labs viert het vijfjarig bestaan van Intel-McAfee met een vergelijking tussen wat researchers begin 2010 dachten dat er zou gebeuren en wat er werkelijk is gebeurd op het gebied van hardware- en softwaredreigingen. Vooraanstaande onderzoekers en managers hebben gekeken naar de voorspellingen over de securitymogelijkheden van processors, de uitdagingen die de opkomende, moeilijk te detecteren aanvallen met zich mee brengen en de verwachtingen in 2010 over nieuwe typen devices en de realiteit van vandaag.
Dreigingslandschap
De analyse van het dreigingslandschap de afgelopen vijf jaar:
Intel Security voorzag dreigingen die gericht zijn op hardware- en firmware-componenten en die de runtime-integriteit bedreigen.
Langlopende aanvallen en malware die in toenemende mate ‘onder de radar’ kan blijven zijn weliswaar geen verrassing voor Intel Security, maar sommige van de specifieke tactieken en technieken waren vijf jaar geleden ondenkbaar.
Hoewel het volume aan mobiele apparaten nog sneller is gestegen dan werd gedacht, is het aantal serieuze, brede aanvallen op deze apparaten veel minder snel gegroeid dan voorzien.
De onderzoekers zien het begin van aanvallen tegen IoT-apparatuur en beveiligingsdoorbraken.
De ‘industrialisatie van hacking’: cybercrime is uitgegroeid tot een complete industrie, met toeleveranciers, markten, service providers, financiering, handelssystemen en een wildgroei van businessmodellen.
De beweging richting cloud heeft de aard van sommige aanvallen veranderd, devices worden niet aangevallen om de (kleine) hoeveelheid informatie die zich daarop bevindt, maar als een pad naar locaties waar de belangrijke data zich bevinden.
Bedrijven en consumenten besteden nog steeds onvoldoende aandacht aan updates, patches, veiligheid van wachtwoorden, security-meldingen, standaardinstellingen en andere eenvoudige, maar kritieke manieren om de beveiliging online en van apparaten goed te regelen.
De ontdekking van kwetsbaarheden in de kern van internet en het misbruiken daarvan, laat zien dat voor een aantal fundamentele technieken te weinig geld en te weinig mankracht beschikbaar is.
Er is een toenemende, positieve samenwerking tussen de security-industrie, wetenschappelijke instellingen, opsporingsinstanties en overheden om cybercriminele activiteiten aan te pakken.
Dreigingsevolutie
"We waren onder de indruk van de mate waarin drie belangrijke factoren – steeds meer aanvalsmogelijkheden, de industrialisering van hacking en de complexiteit en versplintering van de IT security-markt – de evolutie van dreigingen en de frequentie en omvang van aanvallen hebben versneld," zegt Wim van Campen, VP Noord- en Oost-Europa van Intel Security. "Om dit te kunnen bijhouden moet de cybersecurity-gemeenschap blijven doorgaan met het verbeteren van de informatie-uitwisseling rond dreigingen, méér security-professionals aannemen, de innovatie van security-technologie versnellen en doorgaan met het betrekken van overheden bij cybersecurity zodat zij hun burgers beter kunnen beschermen."
Proofs-of-concept
Het augustus-rapport geeft ook details over drie ‘proofs-of-concept’ (PoCs) voor malware die voor een aanval gebruik maakt van een grafische processor (GPU). Hoewel vrijwel alle huidige malware ontworpen is om vanuit het hoofdgeheugen op een centrale processor (CPU) te draaien, benutten deze PoCs gespecialiseerde componenten die ontworpen zijn om de beeldweergave op een scherm te versnellen. De scenario’s laten zien dat hackers zullen proberen de GPU te gebruiken vanwege de enorme verwerkingskracht en om de traditionele verdediging tegen malware te omzeilen door code te draaien en data op te slaan op een plek waar de traditionele verdediging niet zoekt.
Verplaatsen van code
Na bestudering van de PoCs, ziet Intel Security dat het verplaatsen van code van het hoofdgeheugen en de CPU de kans op detectie door een host-gebaseerde defensie verkleint. Maar de onderzoekers zijn van mening dat er dan op zijn minst kleine sporen van kwaadaardige activiteit in het geheugen of de CPU achterblijven. Dat maakt detectie door endpoint security-producten mogelijk, waarna actie kan worden ondernomen.
McAfee Labs geeft ook details over technieken die cybercriminelen gebruiken om een breed scala aan persoonsinformatie weg te sluizen vanaf bedrijfsnetwerken: namen, geboortedata, adressen, telefoonnummers, burgerservicenummers, nummers van credit cards en dergelijke, informatie over de gezondheid, accountgegevens en zelfs seksuele geaardheid. Naast de tactieken en technieken van aanvallers, worden ook de typen aanvallers, hun motieven en hun meest waarschijnlijke doelen geanalyseerd. Ook het beleid dat bedrijven zouden moeten voeren om het wegsluizen beter te detecteren, komt aan bod.
Ontwikkelingen
Het rapport heeft in het tweede kwartaal van 2015 nog een aantal andere ontwikkelingen gezien:
Ransomware - Ransomware blijft zeer snel groeien – het aantal nieuwe ransomware-varianten is in het tweede kwartaal met 58 procent gegroeid. In de periode van het tweede kwartaal van 2014 tot het tweede kwartaal van 2015 is het totale aantal ransomware-varianten met 127 procent togenomen. Intel Security schrijft deze snelle groei toe aan nieuwe ransomware-families, zoals CTM-Locker, CryptoWall en andere.
Mobiel zakt in – Het totale aantal mobiele malware samples is in het tweede kwartaal met zeventienprocent gegroeid. Maar het aantal infecties met mobiele malware is met ongeveer een procent gedaald in alle regio’s, met uitzondering van Noord-Amerika waar de daling vier procent was en Afrika waar het aantal onveranderd bleef.
Spam botnets – De afname van het door botnets gegenereerde spamvolume heeft zich in het tweede kwartaal doorgezet, aangezien het Kelihos botnet inactief bleef. Slenfbot bleef wederom aan de top, gevolgd door Gamut op de tweede en Cutwail op de derde plaats.
Verdachte URLs – In het tweede kwartaal werden elk uur 6,7 miljoen pogingen ondernomen McAfee-klanten over te halen om te klikken op verdachte URLs via e-mails, zoekresultaten in browsers, etc.
Geïnfecteerde bestanden - In het tweede kwartaal werden elk uur meer dan 19,2 miljoen geïnfecteerde bestanden gevonden op de netwerken van klanten.
Meer ongewenste programma’s - In het tweede kwartaal probeerden elk uur zeven miljoen potentieel ongewenste programma’s zich te installeren of te starten op door McAfee beschermde netwerken.