Cybercriminelen volgen online activiteiten werknemers op de voet
Rapport wijst op een explosieve groei van cyberbedreigingen en het aanvalsoppervlak van organisaties
3 maart 2021 -
Fortinet publiceert de laatste editie van zijn halfjaarlijkse Global Threat Landscape Report. Dit rapport is gebaseerd op bedreigingsinformatie die FortiGuard Labs in de tweede helft van 2020 verzamelde. Uit de onderzoeksresultaten blijkt dat cybercriminelen steeds vaker misbruik maken van de documenten die werknemers tijdens een doorsnee werkdag genereren en de browsers die ze gebruiken.
Cybercriminelen maken maximaal misbruik van het uitdijende aanvalsoppervlak van organisaties om hun wereldwijde activiteiten op te schalen. Ze richtten hun pijlen daarbij op de grote aantallen thuiswerkers en mensen die op afstand leren. Ze maken daarnaast gebruik van slimmere technieken voor het uitvoeren van aanvallen op digitale supply chains (toevoerketens) en zelfs het kernnetwerk van organisaties. Een gedetailleerde bespreking van de onderzoeksbevindingen en belangrijke aanbevelingen zijn te vinden in een speciaal blog van Fortinet.
De belangrijkste onderzoeksbevindingen zijn:
Cybercriminelen volgen de online activiteiten van werknemers op de voet: Een analyse van de meest voorkomende categorieën malware werpt licht op de technieken die cybercriminelen het vaakst gebruiken om een aanwezigheid binnen bedrijfsnetwerken te verkrijgen. Het belangrijkste aanvalsdoel waren Microsoft-platformen. Cybercriminelen maken misbruik van de documenten die werknemers tijdens een doorsnee werkdag genereren en raadplegen. Zoals gewoonlijk vertegenwoordigen browsers eveneens een belangrijk slagveld. In deze categorie was onder meer sprake van phishing-sites met malware en scripts die code injecteren of gebruikers omleiden naar kwaadaardige websites. Dit soort cyberbedreigingen neemt onvermijdelijk in aantal toe tijdens wereldwijde crises en piekperioden voor de internethandel. Voor de coronacrisis werden werknemers op kantoor beschermd door internetfilters, maar nu ze thuis werken worden ze sterker aan allerhande cyberbedreigingen blootgesteld.
Thuiswerkomgevingen vormen nog altijd een doelwit: In 2020 begonnen de grenzen tussen werk en privé steeds verder te vervangen. Cybercriminelen richten hun pijlen nu op thuiswerkers om een stap dichterbij het bedrijfsnetwerk te komen. In de tweede helft van 2020 bleken de meeste exploits (technieken voor het misbruiken van kwetsbaarheden) gericht op Internet of Things (IoT)-apparaten die in veel huishoudens worden aangetroffen. Met elk IoT-apparaat ontstaat als het ware een nieuwe netwerkrand die moet worden beschermd. Dit vraagt om monitoring van, en de toepassing van beveiligingsregels op elk apparaat.
Nieuwe cybercriminelen op het wereldtoneel: Advanced Persistent Threat (APT)-groeperingen blijven op allerhande manieren misbruik maken van de coronacrisis. Wat ze vaak met elkaar gemeen hebben, is dat hun aanvallen zijn gericht op het buitmaken van grote hoeveelheden persoonlijke informatie of intellectueel eigendom. Vaak is er sprake van spionage door staathackers. Eind 2020 was er sprake van een toename van aanvallen van ATP’s op organisaties die zich bezighielden met onderzoek en ontwikkeling op het gebied van vaccines en het formuleren van nationaal of internationaal coronabeleid. Doelwitten waren onder meer overheidsinstellingen, farmaceutische bedrijven en medische onderzoeksbureaus.
De toevloed aan ransomware houdt aan: De onderzoeksgegevens van FortiGuard Labs wijzen op een zevenvoudige toename van ransomware-activiteit ten opzichte van het eerste halfjaar van 2020. Aan deze forse groei liggen twee trends ten grondslag: de opkomst van Ransomware-as-a-Service (RaaS) en de focus van criminelen op hoge sommen losgeld. Ze persen hun slachtoffers tegenwoordig ook af door te dreigen om gestolen data openbaar te maken. De meest voorkomende ransomware-varianten waren Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING en BazarLoader. De sectoren die het zwaarst door ransomware-aanvallen werden getroffen waren de gezondheidszorg, zakelijke dienstverlening, dienstverlening aan consumenten, de publieke sector en financiële dienstverlening. Om de groeiende toenemende risico’s rond ransomware effectief op te kunnen vangen moeten organisaties zorgen voor tijdige en volledige back-ups. Daarvan moeten ze bovendien kopieën op een veilige externe locatie opslaan. Verder is het belangrijk om te kiezen voor een beveiligingsstrategie die voorziet in voor zero trust toegang en netwerksegmentatie om de risico’s tot een minimum te beperken.
De toevoerketen vormt een populair doelwit: Aanvallen op supply chains – of toevoerketens - kennen een jarenlange geschiedenis, maar de SolarWinds-hack maakte pas echt de tongen los. Het gebruik van indicators of compromise (IoC’s) werpen licht op de manier waarop deze supply chain-aanval in zijn werk ging. In december 2020 werd er op wereldwijde schaal communicatieverkeer met een command & control center (kwaadaardige internetinfrastructuur) gedetecteerd die verband hield met SUNBURST, een update van monitoringsoftware die door hackers tot een Trojaans paard was omgevormd. Uit de onderzoeksgegevens blijkt daarnaast dat er hoogstwaarschijnlijk sprake is geweest van een domino-effect binnen de toevoerketen waarbij er steeds meer organisaties werden getroffen Dit maakt de gevaren van de sterke onderlinge verbondenheid binnen de moderne toevoerketen op pijnlijke wijze duidelijk en onderstreept het belang van effectief risicobeheer.
De curve van exploits afvlakken: Patching blijft een prioriteit voor organisaties, omdat cybercriminelen grif gebruikmaken van kwetsbaarheden. Uit gegevens over de ontwikkeling van 1.500 exploits gedurende de afgelopen twee jaar blijkt hoe snel en hoe ver sommige exploits zich kunnen verspreiden. Dit lijkt echter alleen in zeldzame gevallen te gebeuren. Want als men een willekeurige exploit kiest, is de kans dat een organisatie daarmee wordt aangevallen volgens de data een op de duizend. Ongeveer 6 procent van alle exploits trof ruim 1 procent van alle bedrijven in de eerste maand. En zelfs na een jaar had 91 procent van alle exploits deze drempelwaarde van 1 procent niet overschreden. Toch blijft het advies om de focus te richten op het verhelpen van kwetsbaarheden waarvoor bekende exploits bestaan en prioriteit toe te kennen aan de exploits die zich het snelst in het veld verspreiden.
De noodzaak van een geïntegreerde aanpak en bedrijfsbrede security awareness
Organisaties worden op alle fronten met cyberaanvallen bestookt. De aanlevering van up-to-date bedreigingsinformatie blijft van cruciaal belang voor het verwerven van inzicht in deze cyberbedreigingen en de manier waarop bestaande en nieuwe aanvalskanalen moeten worden beschermd. Een bedrijfsbreed overzicht is eveneens onontbeerlijk, zeker gezien het grote aantal thuis- en telewerkers. Met elk apparaat groeit het aanvalsoppervlak dat bewaakt en beveiligd moet worden. De inzet van artificial intelligence (AI) en geautomatiseerde bedreigingsdetectie kan organisaties helpen om aanvallen snel af te slaan en de beveiliging uit te breiden naar alle netwerkranden. Bedrijfsbrede security awareness-training zou eveneens een prioriteit moeten vormen. Cyberhygiëne vormt namelijk niet alleen het domein van IT- en beveiligingsteams. Alle werknemers moeten regelmatig beveiligingstraining krijgen en weten welke best pratices ze kunnen toepassen om zichzelf en hun organisatie veilig te houden.
Derek Manky, chief Security Insights & Global Threat Alliances bij FortiGuard Labs: "In heel 2020 was er sprake van een explosieve groei van het bedreigingslandschap. De coronacrisis was daar in belangrijke mate debet aan. Ondertussen scherpten cybercriminelen hun aanvalstechnieken steeds verder aan, met verwoestende gevolgen. Ze maakten maximaal misbruik van de groei van het digitale aanvalsoppervlak. Ze richtten hun pijlen op thuiswerkers, mensen die op afstand leren en de digitale toevoerketen. In de moderne digitale wereld is alles met elkaar verbonden, en daarmee zijn de cyberrisico’s groter dan ooit. Een geïntegreerd, door artificial intelligence aangestuurd security-platform in combinatie met de aanlevering van praktisch toepasbare bedreigingsinformatie is van cruciaal belang om bescherming te bieden voor alle netwerkranden en om cyberbedreigingen direct te detecteren en blokkeren."