9 februari 2017 -
SonicWall heeft zijn jaarlijkse Threat Report republiceerd. Dit rapport biedt een overzicht van de belangrijkste vooruitgang die in 2016 is geboekt door zowel cybercriminelen als beveiligingsprofessionals.
Volgens het 2017 SonicWall Annual Threat Report kunnen zowel beveiligingsprofessionals als cybercriminelen terugzien op een uiterst succesvol 2016. Anders dan de vorige jaren zag SonicWall het volume van verzamelde unieke malware samples dalen naar 60 miljoen in vergelijking met 64 miljoen in 2015, een daling van 6,25 procent. Het totale aantal malware- pogingen daalde voor het eerst in jaren naar 7,87 miljard van 8,19 miljard in 2015. Echter hebben cybercriminelen snel geld kunnen verdienen met ransomware dankzij de opkomst van Ransomware-as-a-service (RaaS).
"Het zou onjuist zijn om te zeggen dat het bedreigingslandschap in 2016 kleiner of groter werd. Het lijkt zich daarentegen te hebben ontwikkeld en verschoven," aldus Bill Conner, de bestuursvoorzitter en CEO van SonicWall. "Cyberbeveiliging is geen uitputtingsslag. Het is een wapenwedloop. En beide kampen geven blijk van ongekende innovatie."
Door de beveiligingssector geboekte vooruitgang
Het aantal aanvallen met point-of-sale-malware daalde tussen 2014 en 2016 met 93 procent.
Prominente beveiligingsincidenten in de retailsector in 2014 hebben ertoe geleid dat bedrijven meer actieve beveiligingsmaatregelen troffen. Sindsdien heeft de branche chip-gebaseerde POS-systemen geïmplementeerd, gebruikgemaakt van de PCI-DDS-checklist en andere beveiligingsmaatregelen getroffen.
In 2014 rapporteerde het SonicWall GRID Threat Network een stijging van 333 procent in het aantal nieuwe tegenmaatregelen tegen POS-malware ten opzichte van het jaar daarvoor
Het SonicWall GRID Threat Network meldde een daling van het aantal nieuwe varianten van POS-malware met 88 ten opzichte van 2015 en met 93 procent ten opzichte van 2014. Hieruit blijkt dat het minder interessant wordt voor cybercriminelen om hun tijd te wijten aan innovatie op het gebied van POS-malware
SSL/TLS dataverkeer
SSL/TLS dataverkeer nam met 38 procent toe, onder meer als reactie op het groeiende gebruik van cloud-applicaties
De trend van SSL-/TLS-encryptie vertoont al enige jaren een stijgende lijn. Met de toename van het internetverkeer in 2016 groeide ook het gebruik van SSL-/TLS-encryptie. Het SonicWall GRID Threat Network meldt een stijging van 5,3 miljard web connecties in 2015 tot 7,3 miljard hits in 2016.
De meerderheid van alle internetsessies die het SonicWall GRID Threat Network in de loop van 2016 detecteerde was versleuteld met SSL/TLS. Het ging om 62 procent van al het internetverkeer.
Een van de redenen voor het toenemende gebruik van SSL-/TLS-encryptie is de groeiende interesse van bedrijven in cloud-applicaties. Het SonicWall GRID Threat Network observeerde een stijging in het gebruik van cloud-applicaties van 88 miljard in 2014 en 118 miljard in 2015 tot 126 miljard in 2016.
Hoewel de trend van SSL-/TLS-encryptie in grote lijnen als een positieve ontwikkeling kan worden beschouwd, is hier een waarschuwing op zijn plaats. SSL-/TLS-encryptie maakt het weliswaar moeilijker voor cybercriminelen om betalingsgegevens van consumenten te onderscheppen, maar zet ook een onbewaakt en vertrouwd achterdeurtje in het netwerk open waarlangs cybercriminelen malware naar binnen kunnen smokkelen. Deze beveiligingsmaatregel kan uitgroeien tot een aanvalskanaal omdat de meeste bedrijven niet over de juiste infrastructuur beschikken om deep packet inspection (DPI) in te zetten voor het detecteren van malware die is verborgen in internetsessies die met SSL/TLS zijn versleuteld.
Populaire exploit kits als Angler, Nuclear en Neutrino verdwenen medio 2016 van het toneel.
In het begin van 2016 werd de malware-markt gedomineerd door een handvol exploit kits, in het bijzonder Angler, Nuclear en Neutrino. Na de arrestatie van ruim 50 Russische hackers die het Trojaanse paard Lurk hadden ingezet voor bankfraude, observeerde het GRID Threat Network dat de exploit kit Angler plotseling van het toneel was verdwenen. Er wordt op brede schaal aangenomen dat de makers van Angler zich onder de gearresteerde hackers bevonden. Kort na het verdwijnen van Angler was er sprake van een piek in het gebruik van Nuclear en Neutrino. Deze exploit kits raakten echter ook snel in de vergetelheid.
Het GRID Threat Network observeerde een fragmentatieslag met betrekking tot de resterende exploit kits. Het vacuüm werd opgevuld door verschillende kleine varianten. Tegen het derde kwartaal van 2016 observeerde SonicWall dat Rig zich had ontwikkeld tot drie versies die gebruikmaakten van diverse URL-patronen, encryptie van landing pages en encryptie van payloads (kwaadaardige code).
Net als in het geval van spam en andere distributiemethoden observeerde SonicWall in 2016 dat exploit kits deel begonnen uit te maken van het systeem voor het aanleveren van ransomware. Varianten van Cerber, Locky, CrypMic, BandarChor, TeslaCrypt en andere ransomware waren de belangrijkste payloads van 2016. Exploit kits herstelden echter nooit meer van de nekslag die ze kregen toegediend met de ontmanteling van de hoofdvarianten.
Door cybercriminelen geboekte vooruitgang
Ransomware werd 167 keer zo vaak gebruikt dan in het voorgaande jaar; ransomware was de populairste payload voor e-mailcampagnes en exploit kits
Het SonicWall GRID Threat Network detecteerde een stijging van het aantal ransomware-aanvallen van 3,8 miljoen in 2015 tot maar liefst 638 miljoen in 2016. De opkomst van ransomware-as-a-service maakte het een stuk eenvoudiger voor kwaadwillenden om aan ransomware te komen en die in te zetten. De ongekende groei van dit type malware is waarschijnlijk het gevolg van de eenvoudige toegang tot ransomware op de zwarte markt, de lage kosten die zijn verbonden aan het uitvoeren van ransomware-aanvallen, de eenvoud waarmee ransomware kan worden verspreid en de geringe pakkans.
Ransomware bleef in heel 2016 een stijgende lijn vertonen. In maart steeg het aantal pogingen tot het uitvoeren van ransomware-aanvallen in één maand tijd van 282.000 tot 30 miljoen. Deze stijging hield aan tot en met het vierde kwartaal, waarin 266,5 miljoen pogingen tot ransomware-aanvallen werden ondernomen
Ransomware was in 2016 de populairste payload voor e-mailcampagnes van cybercriminelen. In de meeste gevallen werd er gebruikgemaakt van Locky. Deze ransomware werd ingezet voor circa 90 procent van alle Nemucod-aanvallen en in totaal ruim 500 miljoen aanvallen gedurende het jaar
Geen enkele sector bleef gespaard voor ransomware-aanvallen. De branches werden vrijwel met dezelfde intensiteit bestookt, zoals de machinebouw en industriële techniek (vijftien procent van alle ransomware-aanvallen). De farmaceutische industrie (dertien procent) en financiële sector (dertien procent) kwamen op een gedeelde tweede plaats, gevolgd door de vastgoedsector (twaalf procent).
IoT-apparaten werden massaal geïnfecteerd en misbruikt als gevolg van slecht ontworpen beveiligingsfuncties; dit plaveide de weg voor DDoS-aanvallen.
IoT-apparaten werden in 2016 geïntegreerd op cruciale plekken in het bedrijfsleven en ons privéleven. Ze vormden daarmee een aantrekkelijk aanvalskanaal voor cybercriminelen. Beveiligingslekken in IoT-apparatuur stelden hen in staat om de grootste distributed denial-of-service (DDoS)-aanvallen uit de geschiedenis uit te voeren. Honderdduizenden IoT-apparaten met zwakke Telnet-wachtwoorden werden ingezet voor DDoS-aanvallen met behulp van Mirai, een beheer-framework voor botnets.
Het SonicWall GRID Threat Network observeerde kwetsbaarheden in alle categorieën IoT-apparaten, met inbegrip van smart camera’s, wearables, smart home-apparatuur, smart vehicles, smart entertainment en smart terminals
In november was er sprake van een piek in Mirai-activiteiten. Het GRID Threat Network observeerde dat de Verenigde Staten het vaakst werd aangevallen. 70 procent van alle DDoS-aanvallen was op deze regio gericht, gevolgd door Brazilië (veertien procent) en India (tien procent).
Ondanks versterkte beveiliging van Android bleef vatbaarheid voor overlay-aanvallen bestaan
Google leverde in 2016 een forse inspanning om de kwetsbaarheden en exploits te patchen die cybercriminelen in het verleden tegen Android hadden gebruikt. Aanvallers reageerden hierop door gebruik te maken van nieuwe technieken waarmee ze de verbeterde beveiliging konden omzeilen.
Het GRID Threat Network observeerde dat cybercriminelen gebruikmaakten van screen overlays. Hierbij wordt een nagebootst scherm op apps aangebracht om gebruikers over te halen om aanmeldingsgegevens en andere data in te voeren. Google reageerde hierop door Android te voorzien van nieuwe beveiligingsfuncties die bescherming boden tegen overlays. SonicWall observeerde echter dat aanvallers deze maatregelen omzeilden door gebruikers ertoe te bewegen om speciale toegangsrechten te verlenen, zodat er nog altijd gebruik kon worden gemaakt van overlays.
Op Google Play werden besmette apps voor volwassen gebruikers geweerd. Cybercriminelen wisten echter voortdurend nieuwe slachtoffers te maken door hun activiteiten te verleggen naar app stores van andere aanbieders. Vaak maakten ze gebruik van ransomware en zelfinstallerende apps. Het SonicWall GRID Threat Network observeerde in twee weken tijd meer dan 4.000 verschillende apps met kwaadaardige zelfinstallerende code.