Telecombedrijven, overheidsorganisaties, leveranciers van ict-beveiligingsdiensten en bedrijven in de auto-industrie en productiesector zijn steeds vaker doelwit van gijzelsoftware. In juni 2021 was het aantal wekelijkse activiteiten rondom ransomware zelfs tien keer hoger dan in die maand in 2020. Dat concludeert FortiGuard Labs, het threat intelligence en onderzoeksteam van ict-beveiliger Fortinet.
Volgens de data van de ict-beveiligingsonderzoekers was er in juni 2021 sprake van een meer dan tienvoudige stijging van de gemiddelde wekelijkse ransomware-activiteit ten opzichte van dezelfde periode een jaar geleden. Dat blijkt uit het FortiGuard Labs Global Threat Landscape Report.
‘Cybercriminelen verlegden de focus van hun ransomware-strategie van de aanlevering van kwaadaardige code naar het verkrijgen van toegang tot bedrijfsnetwerken en het verkopen van die toegang aan derden. Hieruit blijkt eens te meer dat ransomware als dienst zich steeds verder ontwikkelt als motor voor cybercriminaliteit’, lichten ze toe.
Ruim een jaar na de opkomst van thuiswerken en leren op afstand, blijven cybercriminelen misbruik van de situatie maken. Uit de lijst van meest gedetecteerde malware-families blijkt dat er sprake is van een toename in malvertising en scareware. Die vormen van malware maken gebruik van social engineering-technieken om mensen te misleiden en bang te maken. Ze werden door ruim een kwart van alle organisaties gedetecteerd. Cryxos bleek een prominente scareware-familie. Bij veel van deze detecties was waarschijnlijk echter sprake van een combinatie met vergelijkbare op Javascript gebaseerde aanvalscampagnes die als malvertising worden bestempeld.
Botnet
Het onderzoeksrapport wijst ook op een toenemend aantal botnetdetecties. In het begin van 2021 detecteerde 35 procent van alle organisaties een bepaalde vorm van botnetactiviteit. Zes maanden later bedroeg dit percentage 51 procent. In juli ontstond een piek als gevolg van een forse opleving in TrickBot-activiteiten. Die botnet-trends geven aan dat cybercriminelen zich naar de netwerkrand begeven, stellen de security-onderzoekers.
Volgens FortiGuard Labs resulteerde de ontmanteling van Emotet in januari van dit jaar in een terugval in bedreigingsactiviteit. De activiteit rond varianten van TrickBot en Ryuk hield wel aan, hoewel er wel sprake was van een lager aanvalsvolume. ‘Hieruit blijkt eens temeer hoe moeilijk het is om cyberbedreigingen direct de kop in te drukken en cybercriminele netwerken snel te ontmantelen. Toch zijn dit al met al belangrijke prestaties’, aldus de beveiligings-onderzoekers.
Hooking
FortiGuard Labs analyseerde ook de functionaliteit van malware door die in een veilige omgeving uit te voeren en te bestuderen wat cybercriminelen daar precies mee willen bereiken. Daaruit blijkt dat cybercriminelen technieken hanteren om zich meer toegangsrechten toe te eigenen, beveiligingsmechanismen te omzeilen, zich ongezien door bedrijfsnetwerken te begeven en buitgemaakte gegevens naar buiten te smokkelen. ‘Zo maakte 55 procent van alle functies voor het bemachtigen van toegangsrechten gebruik van hooking: het onderscheppen, bewerken en doorsturen van subroutines om applicaties anders te laten werken. In 40 procent van alle gevallen werd er kwaadaardige code in computerprocessen geïnjecteerd.’
Volgens de onderzoekers is een geïntegreerde, door ai en praktisch inzetbare bedreigingsinformatie-ondersteunde aanpak van cruciaal belang om alle randen van het netwerk te beschermen en nieuwe bedreigingen real-time te detecteren.
