Ongrijpbare dreigingen, ingrijpende gevolgen


Beveiligingsoverzicht medio 2019
Ongrijpbare
dreigingen,
ingrijpende
gevolgen

. . .

DOWNLOAD HET
VOLLEDIGE RAPPORT

In het eerste half jaar van 2019 kregen organisaties te maken met een grote verscheidenheid aan inkomende dreigingen, maar ook dreigingen die al een ingang hadden weten te vinden in hun systemen. Opvallend was het grote aantal aanvallen met LotL-malware (Living off the Land), malware die gebruikmaakt van legitieme en vertrouwde tools om schadelijke acties uit te voeren. Ransomware, een oude dreiging, werd ingezet voor specifieke doelen. Phishing, een ander voortdurend terugkerend gevaar, werd op nieuwe platforms gebruikt om slachtoffers in de val te lokken. En het aantal onthulde kwetsbaarheden met grote gevolgen baarde zorgen en onderstreepte het belang van een beter begrip van de risico's waarmee ondernemingssystemen in de praktijk te maken hebben.

In ons halfjaarlijkse beveiligingsoverzicht komen deze en andere veelvoorkomende dreigingen uit de eerste helft van 2019 aan bod en bieden we beveiligingsinzichten, zodat gebruikers en organisaties de juiste oplossingen en verdedigingsstrategieën kunnen implementeren.

. . .



02

Ransomware

Ransomware

Opvallende incidenten

In de eerste helft van 2019 waren cybercriminelen kieskeuriger ten aanzien van hun ransomwaredoelen en concentreerden ze zich voornamelijk op multinationals, ondernemingen en zelfs overheidsinstellingen. Werknemers van deze bedrijven en organisaties ontvingen op maat gemaakte phishing-e-mails, kwetsbaarheden in de beveiliging werden gebruikt om toegang tot het netwerk te krijgen en vervolgens werd de aanval in laterale richting binnen het netwerk voortgezet.

De ransomware LockerGoga slaagde er in maart bijvoorbeeld in om de productie bij verschillende vestigingen van een Noors bedrijf stil te leggen waardoor dit bedrijf een verlies van meer dan 50 miljoen euro leed. En in mei kostte het de Amerikaanse stad Baltimore bijna 5 miljoen euro om de gevolgen van een infectie met de RobbinHood-ransomware te herstellen.

Enkele gemeentelijke organisaties dachten eieren voor hun geld te kiezen door het losgeld te betalen om hun getroffen systemen weer zo snel mogelijk te kunnen gebruiken voor hun overheidsdiensten. Opvallend genoeg werden in een periode van enkele weken maar liefst drie gemeenten in Florida het slachtoffer van verschillende ransomwareaanvallen: Riviera Beach was het slachtoffer van een niet-geïdentificeerde variant van ransomware terwijl Lake City en Key Biscayne beide werden aangevallen door de beruchte Ryuk-ransomware.


  • Riviera Beach
    € 550.00029 mei

  • Lake City
    € 420.00010 juni

  • Key Biscayne
    Geen gerapporteerde betaling23 juni

Deze opvallende aanvallen en hoge bedragen passen in de trend van de sterke stijging in het totale aantal ransomwaredetecties van de tweede helft van 2018 tot de eerste helft van 2019, hoewel het aantal nieuwe soorten ransomware daalde.

77% Totale ransomwaredetecties vergeleken met de tweede helft van 2018
55% Nieuwe soorten ransomware vergeleken met de tweede helft van 2018

Complexe routines

Naast bestandsversleuteling kwamen we ook destructievere routines tegen. Sommige ransomwarevarianten, waaronder de onderstaande voorbeelden, zijn ontworpen met opvallende functies waardoor het voor slachtoffers moeilijker wordt om bestanden en systemen te herstellen.

  • Ryuk
    - Komt binnen via spam

    - Kan ertoe leiden dat geïnfecteerde systemen niet meer kunnen worden opgestart
  • LockerGoga
    - Komt binnen via gehackte referenties

    - Wijzigt de wachtwoorden van gebruikersaccounts van geïnfecteerde systemen en voorkomt dat geïnfecteerde systemen opnieuw worden opgestart
  • RobbinHood
    - Komt binnen via onbeveiligde externe desktops of Trojaanse paarden

    - Versleutelt elk bestand met een unieke sleutel
  • BitPaymer
    - Komt binnen via gehackte accounts en e-mails met Dridex

    - Maakt misbruik van de tool PsExec
  • MegaCortex
    - Komt binnen via gehackte controllers

    - Schakelt bepaalde processen uit
  • Nozelesn
    - Komt binnen via spam

    - Nymaim, de Trojan-downloader, gebruikt bestandsloze technieken om de ransomware te laden.

Uit onze data is gebleken dat in de eerste helft van het jaar verschillende soorten ransomware actief waren. Het beruchte WannaCry bleef echter verreweg de meest gedetecteerde soort ransomware en werd zelfs veel vaker aangetroffen dan alle andere soorten ransomware samen.

Maandelijkse vergelijking tussen detecties van WannaCry en de gezamenlijke detecties van andere soorten ransomware in de eerste helft van 2019

. . .


03

LotL-dreigingen

LotL-dreigingen

Bestandsloze incidenten

603,892
2018
18%
710,733
1e helft 2019

Halfjaarlijkse vergelijking van geblokkeerde bestandsloze incidenten

Zoals voorspeld maken kwaadwillenden steeds meer gebruik van legitieme tools voor systeembeheer en penetratietests om hun schadelijke activiteiten te verbergen. De zogenaamde bestandsloze dreigingen zijn niet zo zichtbaar als traditionele malware aangezien deze doorgaans niet naar schijf schrijven, worden uitgevoerd in het geheugen van een systeem, zich in het register bevinden of misbruik maken van doorgaans vertrouwde tools, zoals PowerShell, PsExec of Windows Management Instrumentation.

We hebben onder andere de volgende opvallende dreigingen op basis van bestandsloze technieken gedetecteerd:

Deze dreigingen hadden één ding gemeen: hun misbruik van PowerShell. Hoewel het een handige tool is voor systeembeheerders, kunnen cybercriminelen PowerShell gebruiken om payloads te starten zonder een bestand te schrijven of uit te voeren in het lokale geheugen van een getroffen systeem.

Macromalware

De tweede helft van 2018 is het aantal detecties van macromalware licht gedaald. In het merendeel van de gevallen dat we dreigingen op basis van macro's aantroffen, ging het om Powload, vooral in spamberichten. Powload heeft zich de afgelopen jaren ontwikkeld: de geleverde payloads zijn diverser, er wordt gebruikgemaakt van steganografie en er worden zelfs regiospecifieke merken en/of terminologie gebruikt. We hebben ook andere soorten macromalware aangetroffen die in spamcampagnes worden gebruikt om infostealers zoals Trickbot in te zetten voor cyberspionage.

Halfjaarlijkse vergelijking van detecties van niet aan Powload gerelateerde macromalware en aan Powload gerelateerde macromalware


Exploitkits

Uit onze data blijkt dat het aantal gevallen van geblokkeerde toegang tot sites met exploitkits licht is toegenomen sinds de tweede helft van 2018, hoewel het aantal detecties in de eerste helft van 2019 nog altijd in het niet valt bij de aantallen uit de hoogtijdagen van de exploitkits. Exploitkits grijpen elke kans aan en maken daarbij gebruik van oude, maar nog altijd effectieve kwetsbaarheden en verschillende payloads, die ze aanpassen aan hun specifieke behoeften.

Halfjaarlijkse vergelijking van het aantal gevallen van geblokkeerde toegang tot URL's die dienen als host voor exploitkits

Een opvallende exploitkit uit de eerste helft van 2019 is Greenflash Sundown, die als LotL-malware door de ShadowGate-campagne is gebruikt om de payload bestandsloos uit te voeren met een bijgewerkte PowerShell-lader. De laatste opvallende actie van ShadowGate was in april 2018, toen het Greenflash Sundown gebruikte om malware voor cryptovaluta-mining in Oost-Azië te verspreiden.

. . .


04

Berichtdreigingen

Berichtdreigingen

Phishing-aanvallen

Het aantal phishing-activiteiten nam af in de eerste helft van 2019. Uit onze data blijkt een afname van 18% in het aantal keren dat we hebben voorkomen dat een phishing-site wordt geopend via een uniek IP-adres van een client. Deze afname kan verschillende oorzaken hebben, waaronder meer kennis over phishing-aanvallen onder gebruikers. Opvallend genoeg steeg het aantal geblokkeerde unieke phishing-URL's in Microsoft Office 365 (Outlook) in dezelfde periode met maar liefst 76%.

Cybercriminelen besloten nog een stapje verder te gaan en het vertrouwen van mensen in bekende merken en tools te misbruiken voor phishing-aanvallen op basis van social engineering op meerdere platforms.


  • Foto-apps van
    Android werden
    gebruikt in
    een phishing-
    aanval om
    foto's te stelen.

  • Een phishing-
    campagne
    gebruikte de
    watering
    hole-techniek

    om gebruikersr-
    eferenties te stelen.

  • Phishers
    gebruikten de browse-
    rextensie
    SingleFile
    om
    frauduleuze
    loginpagina's
    te verhullen.

Oplichting en afpersing

BEC (Business Email Compromise (BEC) is een eenvoudige, maar steeds kostbaardere scam waarvoor ondernemingen op hun hoede moeten zijn. BEC-scammers maken gebruik van social engineering en doen zich doorgaans voor als CEO's en andere leidinggevenden om onwetende werknemers over te halen om een bedrag naar hun rekening over te maken.

52% BEC-pogingen vergeleken met de tweede helft van 2018
CEO Meest misbruikte functie

BEC maakt al jaren deel uit van het dreigingslandschap en scammers hebben nieuwe manieren ontwikkeld om te profiteren van hun slachtoffers. Als gevolg daarvan worden nu ook persoonlijke e-mailaccounts en e-mailaccounts van leveranciers gehackt en worden e-mailaccounts van juristen misbruikt. Er zijn ook gevallen bekend die onze voorspelling ondersteunen dat BEC-scammers zich ook zouden gaan richten op werknemers met een lagere positie op de bedrijfsladder.

Sextortion, een berichtdreiging gericht op persoonlijke en reputatieschade, is ook in opkomst. Volgens onze data is het aantal gevallen van sextortion via spam in de eerste helft van 2019 meer dan verviervoudigd sinds het voorgaande half jaar, een trend die we vorig jaar al voorspelden. Dit was geen verrassing, aangezien de meeste klachten over afpersing die in 2018 bij de FBI binnenkwamen, betrekking hadden op sextortion.

Vanwege de persoonlijke en gevoelige aard van sextortion, voelen slachtoffers zich vaak gedwongen om te voldoen aan de eisen van de afperser. Zo probeerden kwaadwillenden in april geld af te troggelen van Italiaans sprekende gebruikers door te dreigen met de openbaarmaking van compromitterende video's.

Halfjaarlijkse vergelijking van detecties van spamberichten met betrekking tot sextortion

. . .


05

Kwetsbaarheden

Kwetsbaarheden

Kwetsbaarheden op hardwareniveau

De bekendmaking van de Meltdown- en Spectre-kwetsbaarheden begin 2018 bleek de opmaat te zijn voor geheel nieuwe uitdagingen bij het bestrijden en ontwikkelen van patches voor kwetsbaarheden. In de eerste helft van 2019 zijn meer kwetsbaarheden op hardwareniveau opgespoord.

In februari onthulden onderzoekers een proof-of-concept om aan te geven hoe hackers misbruik konden maken van enclaves die zijn ontworpen om bescherming te bieden voor en toegang te krijgen tot data in SGX (Software Guard Extensions) van Intel, een verzameling instructies in de Core- en Xeon-processors van Intel.


In mei onthulden onderzoekers verschillende MDS-kwetsbaarheden (Microarchitectural Data Sampling) in moderne Intel-processors. De impact van deze kwetsbaarheden is gedemonstreerd door de side-channel-aanvallen ZombieLoad, Fallout en Rogue In-Flight Data Load (RIDL), met vergelijkbare methoden als Meltdown en Spectre. Met deze side-channel-aanvallen konden hackers code uitvoeren of data uitfilteren.

Bugs met grote gevolgen

Het dreigingslandschap van de eerste helft van 2019 werd beheerst door riskante kwetsbaarheden. Aan de meeste van de kwetsbaarheden die via ons ZDI-programma (Zero Day Initiative) werden gerapporteerd, hebben we het risiconiveau Hoog toegewezen, een indicatie van hun ingrijpende gevolgen.


107LAAG

101GEMIDDELD

335HOOG

40KRITIEK

Hier volgt een beschrijving van enkele opvallende kwetsbaarheden die we in de eerste helft van 2019 zijn tegengekomen en de gevaren die ze voor ondernemingen vormen:


CVE-2019-0708
Ook wel bekend als BlueKeep, een kritieke zwakke plek in Extern bureaublad-services

Kan malware extreme verspreidingsmogelijkheden bieden

CVE-2019-1069
Een kwetsbaarheid in Task Scheduler in Windows 10

Kan hackers toegang bieden tot beveiligde bestanden

CVE-2019-5736
Een kwetsbaarheid in runC, een runtimeonderdeel dat wordt gebruikt voor containerplatforms

Kan hackers volledige controle geven over de host waarop een getroffen container wordt uitgevoerd

CVE-2019-1002101
Een kwetsbaarheid in de opdrachtregelinterface van Kubernetes voor het uitvoeren van opdrachten en het beheren van middelen

Kan gebruikers dwingen om schadelijke containerimages te downloaden

CVE-2019-9580
Een kwetsbaarheid in de tool StackStorm voor het automatiseren van workflows

Kan servers blootstellen aan onbevoegde toegang

. . .


06

IoT- en IIoT-aanvallen

IoT- en IIoT-aanvallen

Botnet- en worm-oorlogen

Zoals we al voorspelden, vochten botnets en wormen om de controle over blootgestelde apparaten die zijn verbonden met het Internet of Things (IoT). De verschillende concurrenten, waaronder Bashlite en Mirai-varianten als Omni, Hakai en Yowai, doen allemaal het volgende: geïnfecteerde IoT-apparaten scannen op concurrenten, de andere malware verwijderen en hun eigen payloads insluiten.

Aanvallen op kritieke infrastructuren

Het Industrial Internet of Things (IIoT) heeft voor een transformatie gezorgd in de wijze waarop industriële faciliteiten en kritieke infrastructuren worden uitgevoerd en biedt een onovertroffen verbetering in efficiëntie en inzicht in ondernemingsactiviteiten. De samenvloeiing van operationele technologie (OT) en informatietechnologie (IT) heeft echter ook nieuwe beveiligingsrisico's opgeleverd en geresulteerd in bredere aanvalsoppervlakken.


Volgens een in maart gepubliceerd onderzoek is 50% van de ondervraagde organisaties de afgelopen twee jaar al het slachtoffer geweest van een aanval op hun kritieke infrastructuren. En in 2019 leken kwaadwillenden zich te gaan richten op IIoT-doelen. De hackersgroep Xenotime, vermoedelijk verantwoordelijk voor de Triton-malware (ook wel Trisis genoemd), richt zich naar verluidt nu op industriële controlesystemen (ICS) van elektriciteitsnetwerken in de V.S. en de regio Azië-Oceanië. Met de malware werden de portals voor externe logins en kwetsbaarheden in de netwerken van de doelen gescand en vastgelegd.

. . .


07

DREIGINGSLANDSCHAP

DREIGINGSLANDSCHAP
26,804,076,261
In totaal geblokkeerde bedreigingen in de eerste helft van 2019

Het aantal geblokkeerde e-mail-, bestands- en URL-dreigingen is het tweede kwartaal licht afgenomen: driemaandelijkse vergelijking van geblokkeerde e-mail-, bestands- en URL-dreigingen en query's ten aanzien van de e-mail-, bestands- en URL-reputatie in de eerste helft van 2019

Driemaandelijkse vergelijking van geblokkeerde schadelijke Android-apps in de eerste helft van 2019

Driemaandelijkse vergelijking van query's naar Android-apps in de eerste helft van 2019

PDF blijft XLS ternauwernood voor als meestgebruikte bestandstype in bijlagen van spamberichten: verdeling van bestandstypen die worden gebruikt als bijlagen in spamberichten in de eerste helft van 2019

De eerste helft van 2019 hebben we een groot aantal persistente en heimelijke dreigingen gezien die erop zijn gericht om misbruik te maken van kwetsbaarheden in processen, mensen en technologieën. Er bestaat geen eenvoudige oplossing voor een veelomvattende verdediging. Ondernemingen en gebruikers moeten zoeken naar een meerlaagse benadering die in hun specifieke beveiligingsbehoeften voorziet. Gateways, netwerken, servers en endpoints moeten allemaal worden beschermd. Ondernemingen die te maken hebben met malware op basis van geavanceerde technieken, hebben oplossingen nodig die menselijke expertise en beveiligingstechnologieën combineren voor betere detectie-, correlatie-, respons- en bestrijdingsmogelijkheden.

Ons volledige halfjaaroverzicht over beveiliging, “Ongrijpbare dreigingen, ingrijpende gevolgen”, biedt meer inzicht in de meest opvallende dreigingen van de eerste helft van 2019 en de bijbehorende oplossingen.

DOWNLOAD HET VOLLEDIGE RAPPORT

. . .

HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.