Fortinet maakt de bevindingen van zijn nieuwe Global Threat Landscape Report bekend. De onderzoeksgegevens bieden een gedetailleerde beschrijving van de methoden en strategieën die cybercriminelen gebruiken en de potentiële gevolgen voor de digitale economie. Het rapport brengt tevens in kaart hoe cybercriminelen met een ‘army of things’ voor een kentering in de cyberwapenwedloop zorgen.
De belangrijkste bevindingen van het Global Threat Landscape Report zijn:
Infrastructuurtrends en hun relatie tot cyberbedreigingen
• Het is belangrijk om oog te hebben voor infrastructuurtrends en hoe die verband houden met het bedreigingslandschap. Exploits (misbruik van kwetsbaarheden), malware en botnets vormen geen geïsoleerde incidenten, en het detecteren en voorkomen van bedreigingen wordt steeds moeilijker naarmate de netwerkinfrastructuur zich verder ontwikkelt.
• Volgens de onderzoeksgegeven bleef met SSL versleuteld dataverkeer op een stabiel pijl rond 50%. Dit was goed voor ruwweg de helft van al het internetverkeer dat binnen organisaties verliep. HTTPS-verkeer is een belangrijke trend om in de gaten te houden. Hoewel dit positieve gevolgen heeft voor de privacy, vertegenwoordigt het ook problemen bij het detecteren van bedreigingen die in staat zijn om zich te verbergen in het versleutelde communicatieverkeer. SSL-verkeer wordt vaak niet geïnspecteerd vanwege de enorme verwerkings-overhead die gepaard gaat met het openen, inspecteren en opnieuw versleutelen van dataverkeer. Dit dwingt ICT-afdeling tussen het sluiten van compromissen tussen de beveiliging en netwerkprestaties.
• Wat het totale aantal applicaties per organisatie betreft, steegt het aantal cloud-applicaties tot 63, grofweg een derde van alle in kaart gebrachte applicaties. Deze trends heeft ingrijpende gevolgen voor de beveiliging, omdat ICT-afdelingen minder zicht hebben op de data die in cloud-applicaties zijn behuisd, hoe die data wordt gebruikt en wie er toegang toe heeft. Social media, streaming audio en video en P2P-applicaties lieten geen noemenswaardige stijging zien.
Een ‘army of things’ in dienst van de digitale onderwereld
• IoT-apparaten zijn gewilde doelwitten voor cybercriminelen in alle delen van de wereld. Zij bouwen hun eigen ‘army of things’. Het vermogen om aanvallen met weinig geld, en enorme snelheid en op grote schaal te repliceren vormt een pijler van het moderne ecosyteem van cybercriminaliteit.
• In het vierde kwartaal van 2016 incasseerde de branche een forse stoot door het datalek bij Yahoo! en de DDoS-aanval op Dyn. En al voordat de helft van het kwartaal over was, werden de records die door beide gebeurtenissen werden gerealiseerd al gebroken en zelfs verdubbeld.
• Internet of Things (IoT)-apparaten die waren besmet met de Mirai-malware en tot een botnet werden omgevormd gaven de aanzet tot verschillende recordbrekende DDoS-aanvallen. De publicatie van de broncode van Mirai leidde ertoe dat de botnet-activiteit wekelijks met een factor 25 toenam, en met 125 keer tegen het einde van het jaar.
• IoT-gerelateerde exploits die verband hielden met verschillende categorieën apparaten gaven aan dat scans op kwetsbare routers en printers in huishoudens de lijst aanvoerden. DVR’s en NVR’s vervingen routers echter kortstondig als voorkeursdoelwit van cybercriminelen met een enorme sprong met ruim een verzesvoudiging.
• Mobiele malware groeide uit tot een groter probleem dan voorheen. Hoewel dit slechts 1,7 procent van het totale malware-volume vertegenwoordigde, kreeg een op de vijf organisaties die melding deed van malware te maken met een mobiele variant. Bijna alle malware was gericht op Android. Op het gebied van aanvallen met mobiele malware bleek sprake te zijn van aanzienlijke regionale verschillen. 36 procent werd gemeld door Afrikaanse organisaties, 23 procent door Aziatische organisatie en 16 procent door Noord-Amerikaanse organisaties. In Europa lag dit percentage op slechts 8 procent. Deze data heeft gevolgen voro de mobiele apparaten die tegenwoordig met bedrijfsnetwerken zijn verbonden.
Geautomatiseerde aanvallen met hoge volumes zetten de toon
• De relatie tussen het volume van exploits en de dominante positie daarvan wijst op een groeiende automatisering van cyberaanvallen en de lagere kosten van tools voor het ontwikkelen en distribueren van malware die op het dark web te vinden zijn. Dit maakt het voor cybercriminelen goedkoper en eenvoudiger dan ooit om aanvallen uit te voeren.
• SQL Slammer preek bovenaan de lijst met gedetecteerde exploits met een niveau van ernst van ‘hoog’ of ‘kritiek’, en was voornamelijk gericht op onderwijsinstellingen.
• Een exploit die blijk gaf van pogingen tot aanvallen met bruut geweld op het Microsoft Remote Desktop Protocol (RDP) kwam op de tweede plaats. Hierbij werden elke tien seconden 200 RDP-verzoeken verzonden. Dit verklaart het hoge aanvalsvolume dat voor wereldwijde organisaties werd gedetecteerd.
• De op twee na meest voorkomende exploit heeft betrekking op een signature die verband houdt met een kwetsbaarheid in Windows File Manager. Deze stelt aanvallers in staat om op afstand willekeurige code uit te voren binnen kwaadaardige applicaties met behulp van een .JPG-bestand.
• H-Worm en ZeroAccess kwamen het vaakst voor en vertegenwoordigden het grootste volume in de categorie botnets. Beiden bieden cybercriminelen controle over de getroffen systemen, zodat ze data naar buiten kunnen sluizen of zich bezighouden met klikfraude en bitcoin-mining. De ICT-sector en overheid werden getroffen door het grootste aantal aanvalspogingen door deze twee botnet-families.
Ransomware blijft van zich laten horen
• Ransomware vormt een aandachtspunt in elke branche. Deze aanvalsmethode met hoge waarde zal naar alle waarschijnlijkheid opnieuw van zich laten horen als gevolg van de groei van ransomware-as-a-service (RaaS). Dit stelt potentiële cybercriminelen zonder training of vaardigheden in staat om simplweg tools te downloaden en die op een slachtoffer te richten.
• 36% van alle organisaties detecteerde botnet-activiteit die verband hield met ransomware. TorrentLocker kwam op de eerste plaats, en Locky op de derde.
• Twee malware-families, Nemucod en Agent zorgden voor een ware misdaadgolf. 81,4 procent van alle gedetecteerde malware-fragmenten behoorden tot deze twee families. De Nemucod-familie is berucht voor haar banden met ransomware.
• Ransomware was aanwezig in alle regio’s en sectoren, maar verspreidden zich met name op brede schaal in zorginstellingen. Dit blijft een significante ontwikkeling, omdat de gevolgen van het versleutelen van patiëntgegevens veel ernstiger kunnen zijn, en deze langer waardevol en een grotere persoonlijke waarde vertegenwoordigen dan andere typen data.
Gedurfde exploits, maar oud is nieuw
• Cybercriminelen lieten geen kwetsbaarheid onbenut. Helaas richtte hun aandacht zich op het ontbreken van patches en gebrekkigheden in verouderde apparatuur en software. Hierdoor konden ICT-afdelingen minder tijd en aandacht besteden aan het groeiende aanvalsoppervlak dat in snel tempo groeid als gevolg van de opkomst van digitale apparaten.
• Maar liefst 86% van alle bedrijven meldden aanvallen waarbij een poging werd gedaan om misbruik te maken van kwetsbaarheiden die meer dan tien jaar publiekelijk bekend waren. In bijna 40% van al deze gevallen was er sprake van exploits van kwetsbaarheden die nog verder in de tijd terugvoerden.
• Per organisatie werden gemiddeld 10,7 unieke gevallen van misbruik van kwetsbaarheden in applicaties geconstateerd. Circa negen op de 10 bedrijvdn detecteerden exploits met een hoog niveau van ernst of kritieke exploits.
• Afrika, het Midden-Oosten en Latijns-Amerika toonden een hoger aantal en sterkere diversiteit qua aanvallen in elke bedreigingscategorie vergeleken met het gemiddelde aantal unieke exploits, malware en botnet-families die door organisaties in elk deel van de wereld werden gedetecteerd. Van de meest duidelijke verschillen bleek sprake op het gebied van botnets.