Ongeziene bedreigingen, dreigende schade

Heimelijk en subtiel. Dat zijn twee algemene karakteristieken van de belangrijkste bedreigingen voor cyberbeveiliging die we hebben aangetroffen in de eerste helft van 2018.
August 28, 2018



Ons volledige halfjaaroverzicht over beveiliging, ‘ Ongeziene bedreigingen, dreigende schade   ’, geeft een dieper inzicht in de meest opvallende bedreigingen voor de eerste helft van 2018.


Heimelijk en subtiel. Dat zijn twee algemene karakteristieken van de belangrijkste bedreigingen voor cyberbeveiliging die we hebben aangetroffen in de eerste helft van 2018. Het jaar begon rommelig toen er in januari ernstige ontwerpfouten werden ontdekt in populaire microprocessors die eerder veilig werden geacht. Gedurende de maanden daarna zagen we ook een opvallende verschuiving van uiterst zichtbare ransomware naar een meer onopvallende detectie: mining van cryptovaluta. Er was ook een toename in ´bestandsloze´ malware en andere bedreigingen die gebruikmaakten van niet-traditionele ontduikingstechnieken, en een toename in het aantal datalekken en e-mailscams met social engineering.

Deze schadelijke bedreigingen – van de miners die onopgemerkt voeding van de apparaten van slachtoffers aftappen tot de ernstige beveiligingsproblemen die systemen openzetten voor verkapte aanvallen – verbrokkelen de beperkte beveiligingsmiddelen en verdelen de aandacht van IT-beheerders.

In dit rapport bekijken we de eerste zes maanden van 2018 om de belangrijkste opkomende bedreigingen te vinden die ondernemingen voor moeten blijven.


Ernstige kwetsbaarheden ontdekt in hardware waardoor patching nog lastiger wordt

Het jaar ging van start met de bekendmaking van Meltdown en Spectre   , twee belangrijke ontwerpfouten in populaire microprocessors. De impact van deze kwetsbaarheden werd versterkt door het enorme aantal getroffen apparaten en het niveau van toegang dat ze eventuele aanvallers boden. En dit was nog maar het begin. Na de bekendmaking werden nog meer kwetsbaarheden   ontdekt en gepatcht.

Kwetsbaarheden in hardware vormen een complex probleem voor IT-beheerders. Aangezien er microprocessors van meerdere leveranciers worden aangetast en er gedurende langere tijd   fixes worden uitgegeven, wordt het toepassen van patches   voor de firmware van alle getroffen apparaten een stuk lastiger. Bovendien beïnvloeden sommige patches de systeemprestaties van oudere apparaten   , waardoor de impact op bedrijfsactiviteiten complexer wordt.

Naast deze hardwareproblemen hadden IT-beheerders ook te maken met beveiligingsproblemen die door grote softwareleveranciers werden bekendgemaakt. Vooraanstaande leveranciers geven geregeld patches uit wanneer openbaar gemaakte problemen worden gevonden en verholpen, maar het is voor ondernemingen nog steeds lastig hun netwerken te beveiligen   . Door het aantal kwetsbaarheden en de druk om de netwerken operationeel te houden, is het toepassen van patches voor beheerders een terugkerend probleem.

Trend Micro ZDI publiceerde

602

waarschuwingen in de 1e helft van 2018


23

gepubliceerd zonder patches of
maatregel op het moment van bekendmaking

Toename SCADA-kwetsbaarheden

TOTAAL GERAPPORTEERDE SCADA-BEVEILIGINGSPROBLEMEN:

30   %

   toename sinds 2e helft 2017

Het aantal gerapporteerde beveiligingsproblemen met betrekking tot SCADA-systemen (Supervisory Control And Data Acquisition) nam sinds de tweede helft van 2017 toe, en veel van deze problemen werden aangetroffen in HMI-software (Human-Machine Interface). De SCADA-HMI is de belangrijkste digitale hub voor het beheer van kritieke infrastructuur, en de gegevens die zichtbaar worden, kunnen informatieve waarde hebben voor kwaadwillenden.


ZERO-DAYS SCADA ZONDER PATCH BIJ BEKENDMAKING

77   %

   afname sinds 2e helft 2017

Uit onze gegevens blijkt ook dat meer leveranciers op tijd patches of corrigerende maatregelen konden realiseren voor de corresponderende bekendmaking van beveiligingsproblemen. Hoewel dit een welkome verbetering is, geeft het hoge aantal ontdekte problemen duidelijk aan waarom bedrijven in kritieke infrastructuursectoren SCADA-softwareproblemen de baas moeten blijven en zouden moeten investeren in   meerlaagse beveiligingsoplossingen     . De EU heeft haar lidstaten middels de Richtlijn inzake netwerk- en informatiebeveiliging (NIB)   inmiddels een mandaat gegeven wetgeving op te stellen     waarmee een hoog niveau van beveiliging voor cruciale sectoren en essentiële digitale diensten wordt gewaarborgd.

De NIB-richtlijn  


  • EU-wetgeving die van invloed is op organisaties met kritieke infrastructuren. Op grond van de richtlijn en de corresponderende nationale wetgeving moeten aanbieders van essentiële diensten, naast ander op risicobeperking gericht beleid, passende, evenredige en actuele   maatregelen nemen om netwerk- en informatiesystemen te beveiligen.

  • Welke ondernemingen worden beïnvloed?
    •   
      Energiecentrales
    •   
      Watervoorzieningen
    •   
      Banken
    •   
      Ziekenhuizen
    •   
      Transport-
      ondernemingen
    •   
      Online
      markten
    •   
      Diensten voor
      cloudcomputing
    •   
      Zoekmachines



De detectie van mining van cryptovaluta is meer dan verdubbeld; ransomware blijft een risico voor bedrijven

In ons jaarlijkse overzichtrapport 2017   merkten we een toename op van mining van cryptovaluta. Deze tendens heeft zich in de eerste helft van 2018 voortgezet, waarbij de detectie van mining-activiteiten voor cryptovaluta meer dan verdubbeld is ten opzichte van de tweede helft van 2017. We zagen ook een groot aantal nieuwe malware-families voor mining van cryptovaluta   , waaruit bleek dat cybercriminelen een sterke interesse blijven houden in het maken van winst uit digitale valuta.

141   %   

   toename in gedetecteerde mining-activiteiten voor cryptovaluta door Trend Micro™ Smart Protection Network™-infrastructuur

47     

1e helft 2018


Nieuwe malware-families
voor mining gedetecteerd


In de eerste maanden van 2018 zagen we hoe cybercriminelen nieuwe methoden ontwikkelden en nieuwe technieken probeerden om de winst uit illegale mining-activiteiten te maximaliseren.

  • Jan.

    Malvertising in Google DoubleClick
  • Feb.

    Advertenties geïnjecteerd in websites door Droidclub-botnet
  • Mrt.

    Adware-downloader ICLoader
  • Apr.

    Webminer-script in advertentieplatform AOL
  • Mei

    CVE-2017-10271 via poort 7001/TCP
  • Jun.

    Exploitkit Necurs


Ongewenste miners van cryptovaluta op een netwerk kunnen de prestaties verlagen, de slijtage van hardware vergroten en stroom verbruiken – problemen die in een bedrijfsomgeving alleen maar vergroot worden. Gezien de verdekte maar ernstige impact die mining op een systeem kan hebben, moeten IT-beheerders alert zijn op ongebruikelijke netwerkactiviteit.

Hoewel de aanwezigheid in het cyberbeveiligingslandschap zich heeft gestabiliseerd, moeten ondernemingen op hun hoede blijven voor ransomware.

In de eerste helft van 2018 is de detectie van ransomware maar licht toegenomen terwijl het aantal nieuwe ransomware-families afnam vergeleken met de tweede helft van 2017. Maar deze tempowijziging is waarschijnlijk het gevolg van de toegenomen aandacht voor ransomware en de daaruit voortvloeiende verbeteringen op het gebied van preventie en beperking.

3   %

   toename in gedetecteerde
ransomware-activiteit


26   %

   afname in nieuwe
ransomware-families

Stijging in grootschalige overtredingen – ook met AVG-sancties in het verschiet

Op basis van relevante gegevenssets over 2017 en 2018 van Privacy Rights Clearinghouse   zagen we een stijging van 16 procent in gerapporteerde datalekken in de VS.

Gerapporteerde datalekken in de VS

224

2e helft 2017

259

1e helft 2018

Het was interessant om te zien dat het aantal incidenten als gevolg van onbedoelde openbaarmaking (iets) hoger lag dan openbaarmaking als gevolg van hacks.



  • Onbedoelde openbaarmaking

  • Hacking/malware

  • Fysiek verlies

  • Overig (medewerker, onbekend, enz.)

Vijftien van de datalekken in de eerste helft van 2018 waren grootschalige lekken: ze hadden betrekking op ten minste 1 miljoen records. Voor wat betreft het aantal incidenten had de zorgsector met de meeste datalekken te maken, maar de meeste grootschalige lekken vonden plaats in de retailsector en bij online verkopers. Ook zagen we ten minste negen datalekken buiten de VS die als grootschalig kunnen worden aangemerkt.

9

2e helft 2017

15

1e helft 2018

   toename in het aantal
grote datalekken in de VS

71   %

van de datalekken vond plaats in
de zorgsector

Ondernemingen die getroffen worden door datalekken, hebben met grote gevolgen te maken. De kosten voor herstel en kennisgeving, inkomstenverlies, problemen met patching en uitvaltijd en potentiële juridische kosten kunnen zich opstapelen. Een grootschalig datalek kan bedrijven tot wel 350 miljoen dollar   kosten. In veel landen kan de totstandkoming van nieuwe privacyregels bovendien zware boetes voor inadequaat gegevensbeheer opleveren.

Met name de EU heeft een krachtig standpunt ingenomen door een van de strengste en meest uitgebreide wetten voor gegevensbescherming ter wereld ten uitvoer te brengen: de Algemene verordening gegevensbescherming (AVG)   . Deze verordening, die in mei van dit jaar van kracht is geworden, legt de lat hoog voor wat betreft gegevensbeveiliging en privacybescherming. De verordening kan tot aanzienlijke boetes leiden voor organisaties die niet aan de voorschriften voldoen: de boetes kunnen oplopen tot 20 miljoen euro of, indien dit hoger uitvalt, 4 procent van de jaaromzet van de betreffende organisatie. Bovendien heeft de verordening een grote reikwijdte, aangezien deze betrekking heeft op elke organisatie die gegevens van EU-burgers bewaart.

  AVG (GDPR)   – Voldoet u?  


Routerbeveiliging nog steeds zwak ondanks Mirai-waarschuwing

In de eerste helft van 2018 zagen we dat routers expliciet het doelwit van aanvallen waren, een indicatie dat particulieren en bedrijven nog steeds vatbaar zijn voor netwerkaanvallen. Dit is met name gevaarlijk omdat een gecompromitteerde router ertoe kan leiden dat alles en iedereen die ermee verbonden is, ook aangevallen kan worden – laptops, smartphones, slimme assistenten en andere IoT   -apparaten.

We hebben op Mirai lijkende activiteiten aangetroffen bij een onderzoek naar kwetsbare routers en IoT-apparaten. In 2016 was Mirai   verantwoordelijk voor een recordaantal DDoS-aanvallen (Distributed Denial of Service). Sinds de vrijgave van de broncode   in oktober van dat jaar hebben cybercriminelen die ingezet voor andere kwaadaardige activiteiten.

De uitdaging van bestandsloze malware, macromalware en zeer kleine malware-bestanden voor bestandsgebaseerde beveiliging

Ontwikkelaars van malware blijven zich weren tegen de continu verbeterde detectietechnieken – en gaan steeds verder in het fijnslijpen van hun ontduikingstechnieken. In de eerste helft van 2018 viel een aantal benaderingen op: het gebruik van bestandsloze bedreigingen, het gebruik van macro's en het manipuleren van bestandsgroottes.

Bij bedreigingen gaat het doorgaans om kwaadaardige bestanden die worden geïnstalleerd en uitgevoerd op het gecompromitteerde apparaat. Bestandsloze bedreigingen werken niet op die manier. In plaats daarvan worden vertrouwde, in het besturingssysteem ingebouwde tools gekaapt om de aanvallen uit te voeren.

Gedetecteerde bestandsloze incidenten

24430

Jan.

   38189  

Jun.

1e helft 2018

We hebben gedurende de eerste helft van het jaar een stijgende lijn gezien in het aantal bestandsloze bedreigingen. Ondernemingen kunnen deze bedreigingen voor zijn door het gebruik van geïntegreerde beveiligingslagen in het gehele netwerk.

We zagen ook een toename in het gebruik van kwaadaardige macro's. Powload was de meest verspreide boosdoener, en net als bij de meeste kwaadaardige macro's, werd deze verstuurd via spam. Het spambericht wordt zodanig opgesteld dat gebruikers ertoe worden aangezet de macro in te schakelen en de malware te downloaden.

Macro

6   %

   toename van jan. tot jun.

POWLOAD

68   %

   toename van jan. tot jun.

We bespeurden ook een sterke stijging in de detectie van een POS-malware-familie met de naam TinyPOS. Dit kan deels het gevolg zijn van de vrijgave van de broncode van TreasureHunter   , een andere POS-malware-familie; we zien wel vaker een piek in vergelijkbare of gerelateerde malware als er een broncode wordt gelekt. De extreem kleine bestandsgrootte van TinyPOS is hoogstwaarschijnlijk een kenmerk dat door cybercriminelen wordt gebruikt om te proberen detectie te ontlopen.


TinyPOS-DETECTIE



BEC-verliezen overstijgen de prognose terwijl BEC-pogingen gestage groei laten zien

BEC   -scams (Business Email Compromise) zijn vrij eenvoudig: er wordt meer gebruikgemaakt van openbare informatie en social engineering dan van hoogwaardige technische expertise. In een typische BEC-opzet zal een scammer zich als een hooggeplaatst kaderlid voordoen en proberen een werknemer (meestal van een financiële afdeling) zover te krijgen dat deze een bedrag naar de rekening van de scammer overmaakt. Voor BEC-scams zijn relatief weinig middelen nodig maar de opbrengst kan hoog uitvallen. Onze prognose was dan ook dat de verliezen dit jaar meer zouden bedragen dan $ 9 miljard.

MEER DAN

  $   9 MLD  

PROGNOSE

  $   12,5 MLD  

FEITELIJK   

PROGNOSE TREND MICRO 2018 VERSUS FEITELIJKE CUMULATIEVE
MONDIALE VERLIEZEN DOOR BEC

Uit een rapport van het Federal Bureau of Investigation (FBI) over BEC en EAC (Email Account Compromise) blijkt hoe ernstig het probleem voor het bedrijfsleven is geworden: de gecumuleerde mondiale verliezen (van oktober 2013 tot mei 2018) zijn inmiddels opgelopen tot $ 12,5 miljard   .

We volgen BEC-pogingen actief en uit onze gegevens blijkt een toename over de laatste 12 maanden.

5   %

   TOENAME GEREGISTREERDE BEC-POGINGEN 2E HELFT 2017 - 1E HELFT 2018

Om bedreigingen op basis van e-mail te voorkomen, moeten bedrijven verder kijken dan bestandsgebaseerde detectie, en technologieën voor e-mailreputatie overwegen. Met name voor BEC-scams geldt dat oplossingen die gebruikmaken van machine learning   een nieuwe beveiligingslaag toevoegen: de schrijfstijl van een gebruiker wordt geanalyseerd om te bepalen of een e-mail al dan niet bonafide is.

DREIGINGSLANDSCHAP

20,488,399,209

Algemene geblokkeerde bedreigingen 1e helft 2018

Apple   92%     
Foxit   50%     
Adobe   7%     
Microsoft   2%     
Google   84%     

WIJZIGINGEN IN AANGETROFFEN KWETSBAARHEDEN PER LEVERANCIER
(2e helft 2017 versus 1e helft 2018)

Ons volledige halfjaaroverzicht over beveiliging, ' Ongeziene bedreigingen, dreigende schade   ', geeft een dieper inzicht in de meest opvallende bedreigingen voor de eerste helft van 2018.

DOWNLOAD HET VOLLEDIGE RAPPORT





HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Posted in Roundup, Threat Reports, Ransomware, Internet of Things, Cryptocurrency, Data Breach, Business Email Compromise, Vulnerabilities, ICS/SCADA

We Recommend