In het web gevangen: de kluwen van oude en nieuwe bedreigingen ontwarren

Bij het terugblikken op de belangrijkste problemen van 2018, konden we een verschuiving in de strategieën van cybercriminelen waarnemen, evenals aanhoudende beveiligingsbedreigingen.
  • Bedreigingen in berichten
  • Ransomware
  • Kritieke kwetsbaarheden
  • IoT-aanvallen
  • Trend Micro Research
  • Dreigingslandschap
  • PDF downloaden

Bedrijven kregen in 2018 te maken met een groot aantal oude en nieuwe problemen. Onderzoekers ontdekten dat in vrijwel alle actieve computers ernstige hardwareproblemen bestonden, dat het probleem met ransomware bleef aanhouden, dat onbevoegde mining van cryptovaluta in populariteit en qua diversiteit toenam en dat kwetsbare verbonden thuisapparaten het doelwit werden van nieuwe en doelmatige aanvallen. In reactie op een omgeving met steeds meer besturingssystemen en apparaten, verlegden cybercriminelen tevens hun aanpak van aanvallen met exploitkits naar een oude, maar nog steeds effectieve techniek: social engineering. Exploitkits en geautomatiseerde methoden bleken efficiënt wanneer grote aantallen gebruikers gebruikmaakten van kwetsbare software. Maar in 2018 deden veel bedreigingsspelers pogingen om in plaats daarvan menselijke zwakheden uit te buiten. 

Bij ons jaarlijkse beveiligingsoverzicht gaan we nader in op deze en andere belangrijke beveiligingsproblemen en bieden we waardevolle inzichten voor bedrijvers en gebruikers. Daarmee kunnen ze zich bewust worden van en zich voorbereiden op kritieke bedreigingen.

. . .

Bedreigingen in berichten

Zakelijke e-mail, dat belangrijke berichten van en naar het bedrijfsnetwerk omvat, vormt een aantrekkelijk platform voor cybercriminelen. Phishing en andere manieren van social engineering vormen dan ook de belangrijkste zorgen voor professionals op cyberbeveiligingsgebied. Ongewenste e-mails die professioneel zijn ontworpen en het juiste zakelijk jargon bevatten, kunnen een geadresseerde die regelmatig te maken krijgt met vergelijkbare e-mails, gemakkelijk op het verkeerde been zetten.  

In 2018 was er een stijging waar te nemen in het gebruik van verschillende soorten bedreigingen in berichten. Het opvallendst was een stijging van 82 procent in geblokkeerde toegang tot phishing-URL's door unieke IP-adressen van clients vergeleken met het voorafgaande jaar. Phishing wordt traditioneel via e-mail uitgevoerd. Bedreigingen die via e-mail worden verzonden zijn veel minder platformafhankelijk dan andere soorten aanvallen, zoals aanvallen die specifieke zwakheden uitbuiten.

2017
11,340,408
2018
20,617,181

Vergelijking van jaar tot jaar van geblokkeerde toegang tot phishing-URL's door unieke IP-adressen van clients (een computer waarop een link drie keer werd geopend, werd dus als één geval geteld)

Recentelijk hebben we, naast e-mails, ook phishing-aanvallen waargenomen via chat, sms en andere communicatiemethoden. De toename in het aantal phishing-aanvallen en de verschillende versies die circuleren, tonen aan dat cybercriminelen zich aanpassen aan de veranderende omgeving. Meer verbonden apparaten en een steeds groter aantal besturingssystemen betekenen dat het voor cybercriminelen niet langer zoveel oplevert om één systeem aan te vallen als in het verleden. Daarom richten ze zich op een oude, vertrouwde, maar nog steeds effectieve aanvalsmethode.

28%
2017-2018

Een vorm van aanvallen via berichten die ook meer werd gebruikt in 2018 was die van Business Email Compromise (BEC). Bij een typische BEC-aanval worden berichten door een aanvaller geïnitieerd of onderschept. Het doel is om een bedrijfsmedewerker die over de bevoegdheden beschikt om fondsen vrij te geven of over te maken in de val te lokken.


  • CEO

  • Directeur

  • President

  • Algemeen directeur/manager

  • Voorzitter

  • Andere

Belangrijkste functies die worden misleid

Het totale aantal BEC-aanvallen was laag, maar een geslaagde poging kan leiden tot grote financiële verliezen voor het bedrijf dat doelwit is. Phishing-aanvallen werden daarentegen breed ingezet tegen een aantal mogelijke slachtoffers, omdat succes bij slechts een klein percentage gebruikers voor aanvallers al zeer winstgevend zou zijn.

. . .

Ransomware

In 2018 nam het totale aantal bedreigingen in verband met ransomware vergeleken met 2017 met 91 procent af. Het aantal soorten ransomware dat werd ontdekt nam in diezelfde periode ook af. Deze duidelijke afname zette een trend door die we hadden opgemerkt in ons halfjaaroverzicht. Dit is mogelijk toe te schrijven aan verbeterde oplossingen voor ransomware, een beter bewustzijn van de bedreigingen en, in zekere mate, het inzicht dat onderhandelen met de aanvallers toch nutteloos is.

2017
631,128,278
2018
55,470,005

Bedreigingen in verband met ransomware

2017
327
2018
222

Nieuwe soorten ransomware

Desondanks wordt ransomware nog steeds gebruikt, omdat de winst die aanvallers potentieel kunnen maken heel groot is in vergelijking met de bescheiden inzet van het lanceren van een aanval. Onze detecties van WannaCry, de specifieke ransomware die leidde tot het grote aantal gijzelingsgevallen in mei 2017, waren stabiel (met 616.399 gevallen) en waren vele malen groter dan alle overige soorten ransomware samen.

Mining van cryptovaluta bereikte daarentegen een nieuw hoogtepunt in 2018 met ruim 1,3 miljoen detecties. Dit vormt een toename van 237 procent vergeleken met het jaar ervoor. 

1,350,951
2018
400,873
2017

Detecties van mining van cryptovaluta

Naast de stijging in het aantal detecties, konden we gedurende het jaar ook een 'goudkoorts' vaststellen in de aanvalsmethoden voor mining van cryptovaluta: reclameplatforms met advertenties die systemen binnendringen, pop-upreclames, een kwaadaardige browserextensie, mobiele telefoons, botnets, bundels van schadelijke en legitieme software, exploitkits en opnieuw gebruikte ransomware

819%
in bestandsloze bedreigingen
Aug 2017 - dec 2018

Er viel ook een opleving waar te nemen in een van de aanvalsmethoden die worden gebruikt om traditionele blacklistingtechnieken te omzeilen: bestandsloze bedreigingen. Bij deze bedreigingen worden gebruikelijke oplossingen omzeild. Ze kunnen meestal alleen via andere methoden worden vastgesteld, zoals het bewaken van verkeer, gedragsindicatoren of sandboxing.

. . .

Kritieke kwetsbaarheden

Het jaar in beveiliging begon met de baanbrekende onthulling van Meltdown en Spectre, kwetsbaarheden op processorniveau die zwakke plekken in de speculatieve uitvoering van CPU-instructies uitbuitten. Deze nieuwe typen kwetsbaarheden golden voor verschillende microprocessors en hadden nieuwe CPU-aanvallen evenals grote problemen bij bestrijding tot gevolg. Zelfs aan het einde van het jaar bestond er nog geen duidelijke oplossing voor deze zwakheden in de micro-architectuur.

Nog een betreurenswaardige nieuwigheid in 2018 was de ontdekking van een kritieke zwakke plek in Kubernetes, de open-sourcesoftware voor cloudorkestratie. Gelukkig kon voor deze specifieke zwakheid snel een patch worden geïmplementeerd.

De meeste kwetsbaarheden worden aangetroffen en vervolgens op verantwoorde wijze onthuld door beveiligingsonderzoekers en -leveranciers, zodat ze niet in grootschalige aanvallen kunnen worden gebruikt. Maar openbaarmaking van een zwakke plek aan het grote publiek betekent ook dat dreigingsspelers hiervan op de hoogte komen. Het is dus van vitaal belang dat er een oplossing wordt gevonden voordat de informatie wordt vrijgegeven. Dreigingsspelers maken actief gebruik van zwakheden om besturingssystemen aan te vallen.

Er zijn recentelijk geen grootschalige zero-day-exploit-aanvallen vastgesteld. Dit in tegenstelling tot het verleden, waarbij er per jaar zo'n twee à drie grote zero-day-aanvallen plaatsvonden. De aanvallen die in 2018 werden ontdekt hadden een beperkte reikwijdte. Cybercriminelen maakten ook misbruik van kwetsbaarheden waarvoor al een patch was ontwikkeld. Ze gingen daarbij duidelijk uit van de aanname dat veel gebruikers correcties niet snel, of helemaal niet, implementeren. 

*Aanwijzen om de aanvalsdatum weer te geven

*Tikken om de aanvalsdatum weer te geven

Drupal-kwetsbaarheid levert malware aan cryptovaluta-miners

CVE-2018-7602
PATCHDATUM:
25 april 2018

AANVALSDATUM:
5 uur na uitgave van de patch

Apache CouchDB-kwetsbaarheden leveren malware aan cryptovaluta-miners

CVE-2017-12635,
CVE-2017-12636
PATCHDATUM:
14 nov 2017

AANVALSDATUM:
15 feb 2018
3 maanden later

Oracle WebLogic WLS-WSAT-kwetsbaarheid gebruikt voor cryptovaluta-mining

CVE-2017-10271
PATCHDATUM:
16 okt 2017

AANVALSDATUM:
26 feb 2018
4 maanden later

Kwetsbaarheid voor permanent rooten van Android-telefoons, gebruikt in AndroRat

CVE-2015-1805
PATCHDATUM:
16 mrt 2016

AANVALSDATUM:
13 feb 2018
23 maanden later

Aanzienlijke aanvallen in 2018 met uitbuiting van bekende kwetsbaarheden waarvoor patches zijn uitgebracht

Van de kwetsbaarheiden die in 2018 zijn aangetroffen, bestond een aanzienlijk percentage uit software die wordt gebruikt in ICS-systemen (industriële controlesystemen). De meeste van deze kwetsbaarheden bevonden zich in HMI-software (Human-Machine Interfaces) voor deze industriële controlesystemen en SCADA-omgevingen (Supervisory Control And Data Acquisition). De HMI is de belangrijkste hub voor bewaking, beheer en implementatie van de status van verschillende processen in faciliteiten. Door een kritieke HMI-kwetsbaarheid uit te buiten, zou een aanvaller de functionaliteit van de fysieke onderdelen van een bedrijfsfaciliteit kunnen manipuleren. 

. . .

IoT-aanvallen

Routeraanvallen gingen onverminderd door, ondanks de onaangename gevolgen voor de makers van Mirai en Satori. In 2018 stelden we vast dat gerecyclede Mirai-code nog steeds bij routeraanvallen werd gebruikt. En VPNFilter, een andere vorm van routermalware, werd bijgewerkt met extra mogelijkheden, zoals verkennings- en persistentieonderdelen, die leidden tot misbruik van routers die verder ging dan alleen DDoS-aanvallen (Distributed Denial of Service). Het bleek ook dat routers worden gebruikt voor cryptovaluta-mining en pharming-aanvallen, waarbij de trend van grotere functionaliteit werd voortgezet, die we al in ons halfjaaroverzicht hadden vermeld.

Er waren twee voorbeelden van aanvalsincidenten in 2018:


  1. Cryptojacking

    Aanvallers maakten misbruik van een beveiligingslek waarvoor al een patch was uitgebracht in MikroTik-routers in Brazilië en injecteerden kwaadaardig Coinhive-script met als doel mining van Monero.


  2. Kwaadaardige omleiding

    De exploitkit Novidade bleek in staat om DNS-instellingen (Domain Name System) om te leiden, zodat een nietsvermoedende gebruiker kon worden omgeleid naar neppagina's die onder controle van de aanvaller stonden.

Naarmate meer smart devices worden verbonden met het Internet of Things (IoT), zijn er meer huiseigenaren die feitelijk "netwerkbeheerders van intelligente woningen" worden. In die rol moeten ze verantwoordelijkheid nemen voor de beveiliging van hun routers, zodat aanvallers hierop niet kunnen binnendringen. Omdat routers fungeren als de belangrijkste hub voor het beheer van verbindingen van en naar de uiteenlopende apparaten die een internetverbinding nodig hebben, is het van kritiek belang dat deze worden beveiligd.

. . .

Trend Micro Research


Machine learning-oplossingen

  • Ahead of the Curve: A Deeper Understanding of Network Threats Through Machine Learning
  • Adversarial Sample Generation: Making Machine Learning Systems Robust for Security
  • Uncovering Unknown Threats With Human-Readable Machine Learning

Verbonden ziekenhuizen, energieleveranciers, waterbedrijven

  • Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries
  • The Fragility of Industrial IoT’s Data Backbone
  • Securing Connected Hospitals: A Research on Exposed Medical Systems and Supply Chain Risks

Onderzoek naar en uitschakeling van cybercriminelen

  • The Rise and Fall of Scan4You
  • The Evolution of Cybercrime and Cyberdefense

. . .

Dreigingslandschap

48387151118

Algemene geblokkeerde bedreigingen 2018

Geblokkeerde bedreigingscomponenten1e helft 20182e helft 2018Totaal 2018
E-mailbedreigingen16,997,711,54724,521,948,29741,519,659,844
Schadelijke bestanden2,956,153,1122,867,738,6535,823,891,765
Schadelijke URL's534,534,550509,064,9591,043,599,509
Totaal van bedreigingen20,488,399,20927,898,751,90948,387,151,118

Halfjaarlijkse vergelijking van geblokkeerde bedreigingen in e-mail, bestanden en URL's


JaarWannaCry-variantenOverige soorten ransomware
2017321,814244,716
2018616,399126,518

Vergelijking van WannaCry-detecties versus overige gezamenlijke detecties van ransomware van jaar tot jaar



Vergelijking van detecties van bestandsloze bedreigingen van maand tot maand


  •  
  • 147%
  • 33%
  • 35%
  • 38%
  • 94%
  • 27%

Vergelijking van kwetsbaarheden van geselecteerde softwareleveranciers van jaar tot jaar

Download ons jaarlijks beveiligingsoverzicht voor meer inzichten in de belangrijkste cyberbeveiligingsproblemen in 2018.

. . .

DOWNLOAD HET VOLLEDIGE RAPPORT

. . .
HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.