2018 wordt het jaar van hivenets, swarmbots en polymorfe malware
17 november 2017 -
De komende jaren zullen de aanvallen blijven toenemen, terwijl het overzicht en de grip op de huidige IT-infrastructuren afneemt. De groei van online apparaten waarmee verschillende persoonlijke en financiële informatie wordt opgevraagd en de inzet van IoT-apparaten, bieden cybercriminelen nieuwe kansen.
Dat blijkt uit de voorspellingen van Fortinet FortiGuard Labs over de verwachte bedreigingen van 2018. Het rapport gaat in op de methoden en strategieën die cybercriminelen in de nabije toekomst zullen hanteren, en de potentiële impact van cyberaanvallen op de wereldeconomie.
Cybercriminelen zijn als geen ander in staat om gebruik te maken van de laatste innovaties op het gebied van onder meer kunstmatige intelligentie om effectievere aanvallen te ontwikkelen. We verwachten dat deze trend in 2018 in een stroomversnelling komt en de aanzet geeft tot destructieve ontwikkelingen. De belangrijkste voorspellingen voor 2018 zijn:
De opkomst van zelflerende hivenets en swarmbots: Na geavanceerde aanvallen zoals Hajime, Devil’s Ivy en Reaper verwachten we dat cybercriminelen hun botnets zullen vervangen door intelligente clusters van geïnfecteerde apparaten, hivenets genoemd, om effectievere cyberaanvallen uit te voeren. Hivenets maken gebruik van zelflerende functionaliteit om op ongekende schaal effectieve aanvallen op kwetsbare systemen uit te voeren. Ze zullen in staat zijn om met elkaar te communiceren en actie te ondernemen op basis van lokaal verzamelde informatie. Ook de zombies die deel uitmaken van deze kwaadaardige netwerken zullen slimmer worden en instructies kunnen uitvoeren zonder input van de beheerder. Hivenets zullen in staat zijn om exponentieel te groeien als zwermen, beter in staat zijn om gelijktijdig meerdere slachtoffers te treffen en het moeilijker maken om tegenmaatregelen te treffen. Hoewel cyberaanvallen momenteel nog geen gebruikmaken van zwermtechnologie, bevat hun code daar reeds de ingrediënten voor. Cybercriminelen zouden code kunnen aanpassen om het zelflerende gehalte te verhogen. Ze zouden gebruik kunnen maken van zwermen van geïnfecteerde apparaten, ook wel swarmbots genoemd, om verschillende aanvalskanalen tegelijk te identificeren en benutten. Dit maakt het mogelijk om op enorme schaal razendsnelle aanvallen uit te voeren. Het hoge ontwikkelingstempo zal een einde maken aan de voorspelbaarheid die nodig is om aanvallen af te slaan. FortiGuard Labs registreerde begin dit jaar in één kwartaal maar liefst 2,9 miljard pogingen tot communicatie met botnets. Dit geeft een idee van de omvang van de schade die hivenets en swarmbots zouden kunnen aanrichten.
Het gijzelen van zakelijke diensten is big business: Hoewel de omvang van ransomware-bedreigingen het afgelopen jaar al met een factor 35 is gegroeid met de opkomst van ransomworms en andere nieuwe typen aanvallen, is het einde nog lang niet in zicht. Aanbieders van cloud-oplossingen en andere zakelijke diensten zullen naar alle waarschijnlijkheid de belangrijkste doelwitten van ransomware vormen. Cybercriminelen proberen op deze manier nieuwe omzetstromen te genereren. De complexe, hyperverbonden netwerken die cloud providers hebben ontwikkeld kunnen uitgroeien tot een single point of failure voor honderden bedrijven, overheidsinstellingen, beheerders van vitale infrastructuren en zorginstellingen. We voorspellen dat cybercriminelen kunstmatige intelligentie zullen combineren met aanvalsmethoden die zich op meerdere kanalen tegelijk richten om kwetsbaarheden in de omgeving van cloud providers op te sporen en misbruiken. Criminele organisaties zouden met dergelijke aanvallen bergen geld kunnen verdienen en de processen van honderden of duizenden bedrijven en tienduizenden of zelfs miljoenen klanten kunnen verstoren.
Geavanceerde malware die van gedaante verandert: Het staat eraan te komen: malware die volledig door machines is ontwikkeld. Deze malware zal in staat zijn tot geautomatiseerde detectie van kwetsbaarheden en complexe gegevensanalyse. Polymorfe malware is geen nieuw fenomeen, maar staat op het punt om een nieuwe gedaante aan te nemen. Door kunstmatige intelligentie in te zetten voor de ontwikkeling van geavanceerde nieuwe code kan het detectiemechanismen sneller omzeilen. Door hun bestaande tools verder te ontwikkelen zullen cybercriminelen de best mogelijke exploit kunnen ontwikkelen op basis van de unieke kenmerken van elke kwetsbaarheid. Malware is reeds in staat om gebruik te maken van leermodellen om de beveiliging te omzeilen en meer dan een miljoen virusvarianten per dag te creëren. Maar tot dusver is dit alles nog gebaseerd op één algoritme. Er is sprake van weinig raffinement, en cybercriminelen hebben weinig grip op de output. FortiGuard Labs registreerde in 2017 in één kwartaal 62 miljoen malware-detecties. Daarvan waren 16,582 malware-varianten afkomstig van ruim 2.534 malware-families. Een op de vijf organisaties meldde dat het last had van maleware op hun mobiele devices. De toegenomen automatisering van malware zal de situatie er het komende jaar alleen maar nijpender op maken.
Vitale infrastructuren in de schijnwerpers: Aanbieders van vitale infrastructuren (zoals bijvoorbeeld nutsvoorzieningen of waterwerken) staan momenteel bovenaan de lijst van cyberdoelwitten. Deze cyberaanvallen kunnen om strategische (cyberoorlog) dan wel economische motieven worden uitgevoerd. De meeste vitale infrastructuren en operationele technologie (OT)-netwerken zijn berucht om hun kwetsbaarheid. De reden hiervoor is dat ze oorspronkelijk zijn ontwikkeld om van de buitenwereld afgescheiden te zijn. Tegenwoordig is er een geavanceerde netwerkbeveiliging nodig om deze infrastructuren veilig te houden. Gezien de verwoestende gevolgen die kunnen optreden als deze vitale infrastructuren worden gehackt of platgelegd, zijn aanbieders van vitale infrastructuren in een wapenwedloop beland waaraan overheden, criminelen en terroristen aan deelnemen. De brutaliteit van hackers en de convergentie van operationele technologie (OT) en informatietechnologie (IT) zorgt ervoor dat de beveiliging van vitale infrastructuren in 2018 en daarna een topprioriteit wordt.
Cybercriminelen bieden nieuwe geautomatiseerde diensten aan op het dark web: De ontwikkelingen binnen de wereld van cybercriminaliteit staan niet stil. Dat geldt ook voor het dark web. We verwachten dat er op deze zwarte markt nieuwe diensten zullen worden aangeboden. Crime-as-a-Service-aanbieders zullen nieuwe automatiseringstechnologie inzetten voor hun oplossingen. We zien reeds dat diverse marktplaatsen op het dark web geavanceerde diensten aanbieden die gebruikmaken van machine learning. Een daarvan is FUD (fully undetected). Deze dienst stelt criminele programmeurs in staat om malware vóór verspreiding naar een analysedienst te uploaden. Daarop ontvangen ze een rapport dat aangeeft of beveiligingsoplossingen van uiteenlopende leveranciers in staat waren om de malware te detecteren. Om dit proces te versnellen zullen cybercriminelen intensiever gebruik gaan maken van machine learning voor het wijzigen van code op basis van wat er door het laboratorium is gedetecteerd. Dit zal ertoe leiden dat malware en penetratietools moeilijker te detecteren worden. Sandbox-tools die gebruikmaken van algoritmes voor machine learning stellen ons in staat om snel nieuwe bedreigingen te identificeren en op dynamische wijze tegenmaatregelen te treffen. Er is echter geen reden waarom deze aanpak niet door cybercriminelen zou kunnen worden en ingezet voor het verkennen van netwerken, het vinden van doelwitten, het identificeren van zwakke schakels en het maken van blauwdrukken van omgevingen om virtuele penetratietests uit te voeren en vervolgens een aanval op te zetten en uit te voeren.
Cyberbedreigingen de baas blijven: trends en inzichten
Voor ondernemende cybercriminelen die gebruikmaken van automatisering en kunstmatige intelligentie liggen er volop kansen om onze digitale economie ernstige schade te berokkenen. Beveiligingsoplossingen moeten gebruikmaken van geïntegreerde beveiligingstechnologieën, praktisch inzetbare bedreigingsinformatie en dynamisch instelbare beveiligingsstructuren. Ze zouden op digitale snelheden moeten werken door het automatiseren van tegenmaatregelen en het toepassen van bedreigingsinformatie en zelflerende functionaliteit, zodat netwerken effectieve en autonome beslissingen kunnen nemen. Dit biedt meer overzicht en centrale grip en maakt segmentatie mogelijk. De beveiliging moet diep met de netwerkinfrastructuur worden geïntegreerd om geïnfecteerde apparaten snel te kunnen identificeren, in quarantaine zetten en herstellen. Daarnaast moeten standaard best practices op beveiligingsgebied worden opgenomen in onze beschermingsprotocollen. Dit is iets wat vaak over het hoofd wordt gezien, maar is van cruciaal belang om te voorkomen dat we het slachtoffer worden van verwoestende cyberaanvallen.
Vincent Zeebregts, country manager Fortinet Nederland: "Onze digitale economie maakt gebruik van technologische innovaties die zowel ten goede als ten kwade kunnen worden gebruikt. De toename aan online apparaten en de moderne hyperverbonden wereld creëren een crimineel speelveld waartegen steeds moeilijker bescherming is te bieden. Cybercriminelen maken in steeds hoger tempo en op ongekend grote schaal gebruik van automatisering en kunstmatige intelligentie om misbruik te maken van het voortdurend groeiende aanvalsoppervlak. Ransomware-aanvallen als WannaCry en NotPetya bieden een voorproefje van de ingrijpende verstoringen en economische impact die we in de nabije toekomst kunnen verwachten. Een beveiligingsbenadering die gebruikmaakt van de kracht van automatisering, integratie en strategische netwerksegmentatie is van cruciaal belang om de uiterst intelligente aanvallen van morgen af te kunnen slaan."