Cybercriminelen misbruiken politieke en economische situaties voor gewin
Een nieuwe kijk op de wereldhandel en inmenging in verkiezingen
4 maart 2020 -
Fortinet publiceert zijn laatste FortiGuard Labs Global Threat Landscape Report. Het rapport over het vierde kwartaal voor 2019 wijst erop dat cybercriminelen niet alleen misbruik proberen te maken van elke kwetsbaarheid die zij in digitale infrastructuren aantreffen, maar ook optimaal gebruikmaken van de wereldwijde economische en politieke ontwikkelingen.
Verder blijkt dat er bij cybercriminelen een groeiende belangstelling is voor de malware EternalBlue en BlueKeep, organisaties moeten hun systemen afdoende patchen om ze tegen deze twee bedreigingen te beschermen.
Hieronder volgt een overzicht van de belangrijkste onderzoeksbevindingen die in het rapport aan bod komen.
1) Charming kitten & verkiezingen: Volgens het rapport was er in het vierde kwartaal van 2019 in diverse regio’s sprake van intensieve bedreigingsactiviteit die herleidbaar was naar Charming Kitten. Dit is een met Iran in verband gebrachte groep die een advanced persistent threat (APT) vertegenwoordigt. Charming Kitten is sinds 2014 actief en wordt verdacht van diverse cyberspionagecampagnes. Recente activiteiten doen vermoeden dat het zich inmiddels ook toelegt op het beïnvloeden van verkiezingen. Zo werd Charming Kitten verdacht van een reeks gerichte aanvallen op e-mailaccounts die in het kader van de Amerikaanse presidentsverkiezingen werden gebruikt. Daarnaast werd gezien dat Charming Kitten vier nieuwe aanvalstactieken gebruikte om slachtoffers ertoe te bewegen om gevoelige informatie prijs te geven.
2) Spamverkeer volgt de economische en politieke ontwikkelingen: Spam blijft een groot probleem voor bedrijven en particulieren. Het rapport voor het vierde kwartaal laat het volume spamverkeer tussen landen zien. Het brengt visueel in kaart hoeveel spam er vanuit elk land is verzonden en hoeveel spam er door elk land is ontvangen. Het leeuwendeel van het spamverkeer lijkt de economische en politieke ontwikkelingen te volgen. Zo zijn de meest actieve ‘handelspartners’ van de Verenigde Staten op het gebied van spam Polen, Rusland, Duitsland, Japan en Brazilië. Oost-Europa is per saldo ’s werelds grootste exporteur van spam. De meeste andere landen met intensief uitgaand spamverkeer bevinden zich in deelgebieden van Azië. Landen in Europese deelgebieden voeren de lijst met een negatief spamsaldo aan, gevolgd door Afrika, Noord-Amerika en Latijns-Amerika. Dat betekent dat deze landen meer spam ontvangen dan verzenden.
3) IoT-apparaten vormen een broeinest van beveiligingsrisico’s: IoT-apparaten zoals draadloze bewakingscamera’s maken nog altijd gebruik van software met kwetsbaarheden waarvan cybercriminelen misbruik kunnen maken. In veel IoT-apparaten worden componenten en kant-en-klare software van andere leveranciers ingebed die soms vatbaar zijn voor exploits (misbruik van kwetsbaarheden). De wildgroei aan IoT-apparaten en het ontbreken van mogelijkheden om ze te patchen vertegenwoordigen een groeiend probleem. Het geeft aan hoe moeilijk het is voor fabrikanten om voor een veilige toevoerketen te zorgen. Het ontbreken van patches of onwetendheid van het bestaan daarvan, het grote aantal kwetsbaarheden in IoT-apparatuur en de gedocumenteerde pogingen van cybercriminelen om deze apparaten als zombies in te blijven bij IoT-botnets zorgden ervoor dat IoT-exploits goed waren voor het op twee na grootste detectievolume.
4) Oudere bedreigingen plaveien de weg voor nieuwe bedreigingen: Organisaties staan onder constante druk om nieuwe bedreigingen de baas te blijven. Hierdoor vergeten ze soms dat oudere kwetsbaarheden geen uiterste houdbaarheidsdatum hebben. Cybercriminelen zullen er gebruik van blijven maken.
Een goed voorbeeld hiervan is EternalBlue. Deze malware is in de loop der tijd door cybercriminelen aangepast om misbruik te kunnen maken van ernstige en veel voorkomende kwetsbaarheden. EternalBlue is ingezet voor diverse aanvalscampagnes. De belangrijkste daarvan waren de aanvallen met de WannaCry- en NotPetya-ransomware. In mei 2019 werd een patch uitgebracht voor de kwetsbaarheid BlueKeep, die misbruikt kan worden voor de verspreiding van internetwormen die zich even snel en op dezelfde schaal kunnen verspreiden als WannaCry en NotPetya. En afgelopen kwartaal stak een nieuwe versie van de EternalBlue Downloader Trojan de kop op. Deze is in staat om misbruik te maken van BlueKeep. Gelukkig vertoont deze in het veld gedetecteerde versie nog een aantal gebreken. Hierdoor begeven getroffen apparaten crashen voordat ze volledig zijn opgestart.
Gezien de traditionele ontwikkelingscyclus voor malware is de kans groot dat vasthoudende cybercriminelen in de nabije toekomst met een volledig functionele versie van deze in potentie verwoestende malware voor de dag komen. Hoewel er sinds mei 2019 een patch voor BlueKeep beschikbaar is, hebben maar al te veel organisaties hun kwetsbare systemen nog altijd niet met deze beveiligingsupdate bijgewerkt. De groeiende belangstelling van cybercriminelen voor EternalBlue en BlueKeep zou organisaties eraan moeten herinneren dat ze hun systemen afdoende moeten patchen om ze tegen deze twee bedreigingen te beschermen.
5) Toekomstige aanvallen voorspellen: Een analyse van gedetecteerde bedreigingen per regio laat niet alleen zien welke systemen werden bestookt, maar wijst ook uit op welke systemen cybercriminelen zich in de toekomst op zouden kunnen richten. Dat zouden ze kunnen doen omdat genoeg van hun aanvallen vroeg of laat succesvol bleken, of simpelweg omdat er in bepaalde regio’s intensiever gebruik wordt gemaakt van een bepaalde technologie.
Die vlieger gaat echter niet altijd op. Zo is het leeuwendeel van ThinPHP-instances te vinden in China. Dit land kent volgens de cijfers van shodan.io bijna tien keer zoveel installaties als de Verenigde Staten. Ervan uitgaande dat bedrijven in elke regio hun software ongeveer even snel patchen zou het aantal detecties in de regio Asia Pacific veel hoger moeten uitvallen als een botnet het internet afspeurde naar kwetsbare ThinkPHP-instances. In werkelijkheid resulteerde een recente exploit in heel de regio Asia Pacific in slechts zes procent meer detecties dan in Noord-Amerika.
En als we dezelfde manier naar malwaredetecties kijken, blijft dat de meeste aanvallen met malware gericht zijn op Visual Basic for Applications (VBA)-macro’s. De reden hiervoor is waarschijnlijk dat deze aanvallen nog altijd succesvol zijn. Over het algemeen zullen aanvallen die geen effect sorteren niet langdurig in groten getale worden gedetecteerd. Omgekeerd geldt dat een significant aantal detecties van een specifieke cyberbedreiging betekent dat veel organisaties eraan ten prooi vallen.
De noodzaak van uitgebreide, geïntegreerde en geautomatiseerde beveiliging
Door de wildgroei van applicaties en verbonden apparaten ontstaan miljarden nieuwe netwerkranden die stuk voor stuk moeten worden beschermd. Organisaties krijgen daarnaast te maken met steeds geavanceerdere aanvallen die misbruik maken van het groeiende aanvalsoppervlak. Sommige van deze aanvallen maken gebruik van artificial intelligence en machine learning. Om hun als gevolg van digitale innovatie groeiende netwerken effectief te beveiligen moeten organisaties overstappen op een beveiligingsaanpak die datastromen naar de nieuwe netwerkranden, systemen, apparaten en bedrijfskritische applicaties beschermt. Dit is alleen mogelijk met een cybersecurity-platform dat voorziet in uitgebreid overzicht op, en bescherming van het complete aanvalsoppervlak, met inbegrip van alle apparaten, gebruikers, mobiele endpoints, multi-cloud-omgevingen en SaaS-infrastructuren.
Vincent Zeebregts, country manager Fortinet Nederland: "Cybercriminelen hebben tot nu toe een flinke voorsprong gehad in de cyberwapenwedloop. Dit is het gevolg van het toenemende tekort aan beveiligingstalent en het groeiende digitale aanvalsoppervlak. Cybercriminelen combineren het element van verrassing met tactieken als social engineering om misbruik te maken van argeloze gebruikers. Om de steeds geavanceerdere en sterker geautomatiseerde cyberbedreigingen de baas te kunnen blijven moeten organisaties dezelfde technologieën en strategieën als cybercriminelen hanteren voor het beschermen van hun netwerken. Dit vraagt om een geïntegreerd beveiligingsplatform dat gebruikmaakt van door AI aangestuurde bedreigingsinformatie en draaiboeken. Dit is de enige manier om voor effectieve bescherming van, en overzicht op de complete digitale infrastructuur te zorgen."