Multinationals hebben vooral last van dns-verzoeken die zij ontvangen van kwaadwillenden. Dit concludeert Cisco naar aanleiding van onderzoek onder zestien wereldwijd actieve bedrijven die gezamenlijk meer dan driehonderd miljard dollar omzet per jaar realiseren. De analyse leverde drie opmerkelijke inzichten op met betrekking tot een verband tussen ondernemingen en kwaadaardig verkeer: ‘man in the browser’-aanvallen, botnet-verstoppertje en versleutelen van gestolen data.
‘Man in the browser’-aanvallen leveren risico’s op voor ondernemingen. Bijna 94 procent van de netwerken van klanten die in 2014 zijn bekeken blijken verkeer te onderhouden naar websites met malware. Het gaat met name om dns-verzoeken voor hostnamen, waarvan het bijbehorende ip-adres gerelateerd is aan de distributie van de Palevo-, Spyeye- en Zeus-malwarefamilies die werken met een zogeheten ‘man in the browser’ (MiTB)-functionaliteit.
Botnet-verstoppertje
Van bijna 70 procent van de netwerkers werd geconstateerd dat deze dns-verzoeken deden voor dynamische dns-domeinen (ddns). Dit is het bewijs dat netwerken misbruikt worden door botnets die ddns gebruiken om hun ip-adres te veranderen en zo ontdekking of plaatsting op een blacklist voorkomen. Dit wordt ook wel botnet-verstoppertje genoemd. Er zijn maar weinig connectiepogingen vanuit ondernemingen met dynamische dns-domeinen die legitiem zijn. Het gaat in de meeste gevallen om command en control-berichten die de locatie van hun botnet willen verbergen.
Bijna 44 procent van de in 2014 onderzochte netwerken van klanten blijken dns-verzoeken te doen voor sites en domeinen met apparatuur die versleutelde channel services bieden. Deze services worden gebruikt door kwaadwillenden die hun sporen willen uitwissen door data te versturen via versleutelde kanalen, zoals vpn, ssh, sftp, ftp en ftps.
Cisco 2014 Midyear Security Report
De bevindingen over de schadelijke dns-verzoeken worden gemeld in het Cisco 2014 Midyear Security Report. Het onderzoekt de ‘zwakke schakels’ in de beveiligingsaanpak bij bedrijven. Dergelijke zwakke schakels, bijvoorbeeld verouderde software, slechte code, afgedankte computerapparatuur of fouten van gebruikers, bieden cybercriminelen weinig in het oog vallende kwetsbaarheden om misbruik van te maken. Daarbij gebruiken ze een scala aan geavanceerde aanvalstechnieken, uiteenlopend van ransomware en infiltratie van encryptieprotocollen tot social engineering en spam die inhaakt op actuele gebeurtenissen.
Het rapport laat ook zien dat een te sterke focus op de in het oog lopende kwetsbaarheden het risico voor organisaties kan vergroten. Zij zouden meer aandacht moeten hebben voor ‘gewone’ risico’s en bedreigingen die minder opvallend zijn, maar wel een grote impact kunnen hebben. Door bijvoorbeeld meer aanvallen uit te voeren op onopvallende, verouderde applicaties en infrastructuren met bekende kwetsbaarheden, proberen cybercriminelen te voorkomen dat hun activiteiten gedetecteerd worden. De focus van securityteams ligt immers meestal op de opvallende kwetsbaarheden, zoals het Heartbleed-lek in de veelgebruikte Openssl-versleuteling.
Exploit kits en Java-misbruik
Verder blijkt uit het Cisco-onerzoek dat het aantal exploit kits met 87 procent is afgenomen sinds de (vermeende) maker van de zeer populaire Blackhole-exploit kit vorig jaar werd gearresteerd, aldus de security-onderzoekers van Cisco. In de eerste helft van 2014 hebben enkele exploit-kits geprobeerd het terrein over te nemen dat ooit gedomineerd werd door Blackhole, maar er is nog geen duidelijke winnaar.
Java blijft zijn dubieuze reputatie houden als programmeertaal die het meest door kwaadwillenden wordt misbruikt. De security-onderzoekers hebben gezien dat in mei 2014 de Java-exploits zijn gestegen tot 93 procent van alle ‘indicators of compromise’, vergeleken met 91 procent in november 2013.
Malware in verticale markten
Cisco merkt ook een ongewone toename van malware op in verticale markten. In de eerste helft van 2014 stond de farmaceutische en chemische industrie, een zeer winstgevende industrie, wederom in de top drie branches met het meeste risico op web malware (op de derde plaats). Mediabedrijven en uitgeverijen staan bovenaan, gevolgd door luchtvaartmaatschappijen. Ingedeeld naar regio werden de mediabedrijven uitgeverijen het meest getroffen in Amerika, de voedingsindustrie werd het meest getroffen in Europa, Midden-Oosten en Afrika en in Azië-Pacific, China, Japan en India waren dat de verzekeringsmaatschappijen.