- Bedreigingen in berichten
- Ransomware
- Kritieke kwetsbaarheden
- IoT-aanvallen
- Trend Micro Research
- Dreigingslandschap
- PDF downloaden
Bedrijven kregen in 2018 te maken met een groot aantal oude en nieuwe problemen. Onderzoekers ontdekten dat in vrijwel alle actieve computers ernstige hardwareproblemen bestonden, dat het probleem met ransomware bleef aanhouden, dat onbevoegde mining van cryptovaluta in populariteit en qua diversiteit toenam en dat kwetsbare verbonden thuisapparaten het doelwit werden van nieuwe en doelmatige aanvallen. In reactie op een omgeving met steeds meer besturingssystemen en apparaten, verlegden cybercriminelen tevens hun aanpak van aanvallen met exploitkits naar een oude, maar nog steeds effectieve techniek: social engineering. Exploitkits en geautomatiseerde methoden bleken efficiënt wanneer grote aantallen gebruikers gebruikmaakten van kwetsbare software. Maar in 2018 deden veel bedreigingsspelers pogingen om in plaats daarvan menselijke zwakheden uit te buiten.
Bij ons jaarlijkse beveiligingsoverzicht gaan we nader in op deze en andere belangrijke beveiligingsproblemen en bieden we waardevolle inzichten voor bedrijvers en gebruikers. Daarmee kunnen ze zich bewust worden van en zich voorbereiden op kritieke bedreigingen.
Bedreigingen in berichten
Zakelijke e-mail, dat belangrijke berichten van en naar het bedrijfsnetwerk omvat, vormt een aantrekkelijk platform voor cybercriminelen. Phishing en andere manieren van social engineering vormen dan ook de belangrijkste zorgen voor professionals op cyberbeveiligingsgebied. Ongewenste e-mails die professioneel zijn ontworpen en het juiste zakelijk jargon bevatten, kunnen een geadresseerde die regelmatig te maken krijgt met vergelijkbare e-mails, gemakkelijk op het verkeerde been zetten.
In 2018 was er een stijging waar te nemen in het gebruik van verschillende soorten bedreigingen in berichten. Het opvallendst was een stijging van 82 procent in geblokkeerde toegang tot phishing-URL's door unieke IP-adressen van clients vergeleken met het voorafgaande jaar. Phishing wordt traditioneel via e-mail uitgevoerd. Bedreigingen die via e-mail worden verzonden zijn veel minder platformafhankelijk dan andere soorten aanvallen, zoals aanvallen die specifieke zwakheden uitbuiten.
Vergelijking van jaar tot jaar van geblokkeerde toegang tot phishing-URL's door unieke IP-adressen van clients (een computer waarop een link drie keer werd geopend, werd dus als één geval geteld)
Recentelijk hebben we, naast e-mails, ook phishing-aanvallen waargenomen via chat, sms en andere communicatiemethoden. De toename in het aantal phishing-aanvallen en de verschillende versies die circuleren, tonen aan dat cybercriminelen zich aanpassen aan de veranderende omgeving. Meer verbonden apparaten en een steeds groter aantal besturingssystemen betekenen dat het voor cybercriminelen niet langer zoveel oplevert om één systeem aan te vallen als in het verleden. Daarom richten ze zich op een oude, vertrouwde, maar nog steeds effectieve aanvalsmethode.
Een vorm van aanvallen via berichten die ook meer werd gebruikt in 2018 was die van Business Email Compromise (BEC). Bij een typische BEC-aanval worden berichten door een aanvaller geïnitieerd of onderschept. Het doel is om een bedrijfsmedewerker die over de bevoegdheden beschikt om fondsen vrij te geven of over te maken in de val te lokken.
- CEO
- Directeur
- President
- Algemeen directeur/manager
- Voorzitter
- Andere
Belangrijkste functies die worden misleid
Het totale aantal BEC-aanvallen was laag, maar een geslaagde poging kan leiden tot grote financiële verliezen voor het bedrijf dat doelwit is. Phishing-aanvallen werden daarentegen breed ingezet tegen een aantal mogelijke slachtoffers, omdat succes bij slechts een klein percentage gebruikers voor aanvallers al zeer winstgevend zou zijn.
Ransomware
In 2018 nam het totale aantal bedreigingen in verband met ransomware vergeleken met 2017 met 91 procent af. Het aantal soorten ransomware dat werd ontdekt nam in diezelfde periode ook af. Deze duidelijke afname zette een trend door die we hadden opgemerkt in ons halfjaaroverzicht. Dit is mogelijk toe te schrijven aan verbeterde oplossingen voor ransomware, een beter bewustzijn van de bedreigingen en, in zekere mate, het inzicht dat onderhandelen met de aanvallers toch nutteloos is.
Bedreigingen in verband met ransomware
Nieuwe soorten ransomware
Desondanks wordt ransomware nog steeds gebruikt, omdat de winst die aanvallers potentieel kunnen maken heel groot is in vergelijking met de bescheiden inzet van het lanceren van een aanval. Onze detecties van WannaCry, de specifieke ransomware die leidde tot het grote aantal gijzelingsgevallen in mei 2017, waren stabiel (met 616.399 gevallen) en waren vele malen groter dan alle overige soorten ransomware samen.
Mining van cryptovaluta bereikte daarentegen een nieuw hoogtepunt in 2018 met ruim 1,3 miljoen detecties. Dit vormt een toename van 237 procent vergeleken met het jaar ervoor.
Detecties van mining van cryptovaluta
Naast de stijging in het aantal detecties, konden we gedurende het jaar ook een 'goudkoorts' vaststellen in de aanvalsmethoden voor mining van cryptovaluta: reclameplatforms met advertenties die systemen binnendringen, pop-upreclames, een kwaadaardige browserextensie, mobiele telefoons, botnets, bundels van schadelijke en legitieme software, exploitkits en opnieuw gebruikte ransomware.
Aug 2017 - dec 2018
Er viel ook een opleving waar te nemen in een van de aanvalsmethoden die worden gebruikt om traditionele blacklistingtechnieken te omzeilen: bestandsloze bedreigingen. Bij deze bedreigingen worden gebruikelijke oplossingen omzeild. Ze kunnen meestal alleen via andere methoden worden vastgesteld, zoals het bewaken van verkeer, gedragsindicatoren of sandboxing.
Kritieke kwetsbaarheden
Het jaar in beveiliging begon met de baanbrekende onthulling van Meltdown en Spectre, kwetsbaarheden op processorniveau die zwakke plekken in de speculatieve uitvoering van CPU-instructies uitbuitten. Deze nieuwe typen kwetsbaarheden golden voor verschillende microprocessors en hadden nieuwe CPU-aanvallen evenals grote problemen bij bestrijding tot gevolg. Zelfs aan het einde van het jaar bestond er nog geen duidelijke oplossing voor deze zwakheden in de micro-architectuur.
Nog een betreurenswaardige nieuwigheid in 2018 was de ontdekking van een kritieke zwakke plek in Kubernetes, de open-sourcesoftware voor cloudorkestratie. Gelukkig kon voor deze specifieke zwakheid snel een patch worden geïmplementeerd.
De meeste kwetsbaarheden worden aangetroffen en vervolgens op verantwoorde wijze onthuld door beveiligingsonderzoekers en -leveranciers, zodat ze niet in grootschalige aanvallen kunnen worden gebruikt. Maar openbaarmaking van een zwakke plek aan het grote publiek betekent ook dat dreigingsspelers hiervan op de hoogte komen. Het is dus van vitaal belang dat er een oplossing wordt gevonden voordat de informatie wordt vrijgegeven. Dreigingsspelers maken actief gebruik van zwakheden om besturingssystemen aan te vallen.
Er zijn recentelijk geen grootschalige zero-day-exploit-aanvallen vastgesteld. Dit in tegenstelling tot het verleden, waarbij er per jaar zo'n twee à drie grote zero-day-aanvallen plaatsvonden. De aanvallen die in 2018 werden ontdekt hadden een beperkte reikwijdte. Cybercriminelen maakten ook misbruik van kwetsbaarheden waarvoor al een patch was ontwikkeld. Ze gingen daarbij duidelijk uit van de aanname dat veel gebruikers correcties niet snel, of helemaal niet, implementeren.
*Aanwijzen om de aanvalsdatum weer te geven
*Tikken om de aanvalsdatum weer te geven
Drupal-kwetsbaarheid levert malware aan cryptovaluta-miners
CVE-2018-7602Apache CouchDB-kwetsbaarheden leveren malware aan cryptovaluta-miners
CVE-2017-12635,CVE-2017-12636
3 maanden later
Oracle WebLogic WLS-WSAT-kwetsbaarheid gebruikt voor cryptovaluta-mining
CVE-2017-102714 maanden later
Kwetsbaarheid voor permanent rooten van Android-telefoons, gebruikt in AndroRat
CVE-2015-180523 maanden later
Aanzienlijke aanvallen in 2018 met uitbuiting van bekende kwetsbaarheden waarvoor patches zijn uitgebracht
Van de kwetsbaarheiden die in 2018 zijn aangetroffen, bestond een aanzienlijk percentage uit software die wordt gebruikt in ICS-systemen (industriële controlesystemen). De meeste van deze kwetsbaarheden bevonden zich in HMI-software (Human-Machine Interfaces) voor deze industriële controlesystemen en SCADA-omgevingen (Supervisory Control And Data Acquisition). De HMI is de belangrijkste hub voor bewaking, beheer en implementatie van de status van verschillende processen in faciliteiten. Door een kritieke HMI-kwetsbaarheid uit te buiten, zou een aanvaller de functionaliteit van de fysieke onderdelen van een bedrijfsfaciliteit kunnen manipuleren.
IoT-aanvallen
Routeraanvallen gingen onverminderd door, ondanks de onaangename gevolgen voor de makers van Mirai en Satori. In 2018 stelden we vast dat gerecyclede Mirai-code nog steeds bij routeraanvallen werd gebruikt. En VPNFilter, een andere vorm van routermalware, werd bijgewerkt met extra mogelijkheden, zoals verkennings- en persistentieonderdelen, die leidden tot misbruik van routers die verder ging dan alleen DDoS-aanvallen (Distributed Denial of Service). Het bleek ook dat routers worden gebruikt voor cryptovaluta-mining en pharming-aanvallen, waarbij de trend van grotere functionaliteit werd voortgezet, die we al in ons halfjaaroverzicht hadden vermeld.
Er waren twee voorbeelden van aanvalsincidenten in 2018:
CryptojackingAanvallers maakten misbruik van een beveiligingslek waarvoor al een patch was uitgebracht in MikroTik-routers in Brazilië en injecteerden kwaadaardig Coinhive-script met als doel mining van Monero.
Kwaadaardige omleidingDe exploitkit Novidade bleek in staat om DNS-instellingen (Domain Name System) om te leiden, zodat een nietsvermoedende gebruiker kon worden omgeleid naar neppagina's die onder controle van de aanvaller stonden.
Naarmate meer smart devices worden verbonden met het Internet of Things (IoT), zijn er meer huiseigenaren die feitelijk "netwerkbeheerders van intelligente woningen" worden. In die rol moeten ze verantwoordelijkheid nemen voor de beveiliging van hun routers, zodat aanvallers hierop niet kunnen binnendringen. Omdat routers fungeren als de belangrijkste hub voor het beheer van verbindingen van en naar de uiteenlopende apparaten die een internetverbinding nodig hebben, is het van kritiek belang dat deze worden beveiligd.
Trend Micro Research
Machine learning-oplossingen
- Ahead of the Curve: A Deeper Understanding of Network Threats Through Machine Learning
- Adversarial Sample Generation: Making Machine Learning Systems Robust for Security
- Uncovering Unknown Threats With Human-Readable Machine Learning
Verbonden ziekenhuizen, energieleveranciers, waterbedrijven
- Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries
- The Fragility of Industrial IoT’s Data Backbone
- Securing Connected Hospitals: A Research on Exposed Medical Systems and Supply Chain Risks
Onderzoek naar en uitschakeling van cybercriminelen
Dreigingslandschap
48387151118
Algemene geblokkeerde bedreigingen 2018
Geblokkeerde bedreigingscomponenten | 1e helft 2018 | 2e helft 2018 | Totaal 2018 |
E-mailbedreigingen | 16,997,711,547 | 24,521,948,297 | 41,519,659,844 |
Schadelijke bestanden | 2,956,153,112 | 2,867,738,653 | 5,823,891,765 |
Schadelijke URL's | 534,534,550 | 509,064,959 | 1,043,599,509 |
Totaal van bedreigingen | 20,488,399,209 | 27,898,751,909 | 48,387,151,118 |
Halfjaarlijkse vergelijking van geblokkeerde bedreigingen in e-mail, bestanden en URL's
Jaar | WannaCry-varianten | Overige soorten ransomware |
2017 | 321,814 | 244,716 |
2018 | 616,399 | 126,518 |
Vergelijking van WannaCry-detecties versus overige gezamenlijke detecties van ransomware van jaar tot jaar
Vergelijking van detecties van bestandsloze bedreigingen van maand tot maand
- 147%
- 33%
- 35%
- 38%
- 94%
- 27%
Vergelijking van kwetsbaarheden van geselecteerde softwareleveranciers van jaar tot jaar
Download ons jaarlijks beveiligingsoverzicht voor meer inzichten in de belangrijkste cyberbeveiligingsproblemen in 2018.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.