Wouter Hoeffnagel - 26 april 2017

Een op de 106 emails in Nederland bevat malware

Cybercriminelen tilde in 2016 hun werkwijze naar een hoger niveau. 2016 is een jaar dat de geschiedenis in ging met opmerkelijke aanvallen, inclusief virtuele bankovervallen waarbij miljoenen dollars werden buitgemaakt en openlijke aanvalspogingen van door de staat gesteunde hackgroeperingen, om het verkiezingsproces in de Verenigde Staten te ontwrichten.

Dit blijkt uit het 22ste Internet Security Threat Report (ISTR) van Symantec dat vandaag openbaar is gemaakt. “Het bedreigingslandschap kenmerkt zich door verfijning en innovatie, maar dit jaar heeft Symantec grote verschuivingen vastgesteld op het gebied van motivatie en focus,” aldus Kevin Haley, directeur Symantec Security Response. “Wereldwijd hebben specifieke landen dubbel ingezet op het gebied van politieke manipulatie en pure sabotage. Ondertussen veroorzaakten cybercriminelen onverwachte disruptie door hun werkzaamheden te focussen op relatief eenvoudige IT-tools en cloudservices."

Symantec’s ISTR geeft een duidelijk beeld van het bedreigingslandschap, inclusief een kijkje in de wereldwijde bedreigingsactiviteiten, trends onder cybercriminelen en de motivatie van aanvallers. De belangrijkste punten uit het rapport zijn:

Aanvallen gericht op ondermijning en sabotage komen naar de voorgrond

Cybercriminelen voeren politiek verwoestende aanvallen uit om een nieuw soort doelgroep te verzwakken. Cyberaanvallen tegen de Amerikaanse democratische partij en het daaropvolgende lekken van gestolen informatie weerspiegelen een trend van criminelen die gebruikmaken van zeer publieke, open campagnes die zijn ontwikkeld om organisaties en landen in disbalans te brengen en te ontwrichten. Terwijl cyberaanvallen die gebruikmaken van sabotage van oorsprong niet vaak voorkomen, duidt het behaalde succes van diverse campagnes – inclusief de Amerikaanse verkiezingen en Shamoon – op een groeiende trend van criminelen die proberen de politiek te beïnvloeden en verdeeldheid te zaaien in andere landen.

Landen jagen hoge scores na

Een nieuwe groep aanvallers vertoonde grote financiële ambities, wat een poging zou kunnen zijn om andere geheime en ondermijnende operaties mede te kunnen financieren. Tegenwoordig wordt het grootste aantal overvallen virtueel gepleegd waarbij cybercriminelen miljarden dollars buit maken. Terwijl sommige van deze aanvallen het werk zijn van georganiseerde criminele bendes, lijken landen daar voor het eerst ook bij betrokken te zijn. Symantec heeft bewijs gevonden dat Noord-Korea linkt aan aanvallen op banken in Bangladesh, Vietnam, Ecuador en Polen.

“Dit was een ongelooflijk brutale aanval en het was ook de eerste keer dat er sterke indicaties waren dat landen betrokken waren bij financiële cybercriminaliteit,” aldus Kevin Haley, directeur Symantec Security Response. "Ondanks het feit dat hun doelstellingen nog hoger werden gelegd, stalen de aanvallers minstens 94 miljoen Amerikaanse dollars."

Aanvallers bewapenen zich met veelgebruikte software

In 2016 zag Symantec dat cybercriminelen PowerShell, een veelgebruikte scripttaal geïnstalleerd op pc's, en MS Office-bestanden gebruiken als wapen. Terwijl systeembeheerders deze veelgebruikte IT-tools mogelijk gebruiken voor hun dagelijkse beheerderstaken, gebruiken cybercriminelen deze combinatie steeds vaker voor hun campagnes omdat ze een kleinere voetafdruk achterlaten en hen de mogelijkheid biedt zich schuil te houden. Als gevolg van het grootschalig gebruik van PowerShell door aanvallers, was 95 procent van de PowerShell-bestanden die Symantec tegenkwam schadelijk.

Het gebruik van email als een infectiemogelijkheid groeide eveneens. Het werd het voorkeurswapen van cybercriminelen en een gevaarlijke bedreiging voor gebruikers. Symantec vond in één op de 131 emails een schadelijke link of bijlage – het hoogste percentage in vijf jaar. In Nederland ligt de ratio zelfs nog hoger, namelijk één op de 106 emails. Verder lichtten Business Email Compromise (BEC) scans, die gebaseerd zijn op niets anders dan zorgvuldig samengestelde spear-phishingmails, bedrijven voor meer dan drie miljard dollar op gedurende de laatste drie jaar door dagelijks meer dan 400 van hen aan te vallen.

Terug naar digitale afpersing

Ransomware bleef zich verder ontwikkelen als een wereldwijd probleem en een lucratieve business voor criminelen. Symantec identificeerde 100 nieuwe malwaresoorten, meer dan drie keer zoveel als voorheen en een toename van 36% van het aantal ransomware-aanvallen wereldwijd.

De aanvallers richten zich echter met name op de Verenigde Staten, de nummer 1 van de landen die worden aangevallen. Nederland beslaat de tweede positie in Europa en de zesde positie wereldwijd waarmee 3,4% van alle ransomware gevallen uit Nederland afkomstig is. Symantec stelde daarnaast vast dat maar liefst 64 procent van de Amerikaanse slachtoffers van ransomware bereid is een afkoopsom te betalen in vergelijking met 34 procent wereldwijd. Helaas heeft dit consequenties. In 2016 piekte de gemiddelde afkoopsom op 266 procent waarbij criminelen gemiddeld 1077 dollar per slachtoffer eisten.

Barsten in de cloud

Een groeiende afhankelijkheid van cloudservices heeft bedrijven blootgesteld aan aanvallen. In 2016 werden tienduizenden databases van een aanbieder in de cloud gehackt en slachtoffer van ransomware nadat gebruikers verouderde databases online lieten openstaan zonder authenticatie in te stellen.

Beveiliging van de cloud blijft een uitdaging voor CIO's. Op basis van de gegevens van Symantec hebben CIO's geen idee over hoeveel cloudapps er binnen hun bedrijf worden gebruikt. Als hiernaar wordt gevraagd, gaan de meesten ervan uit dat hun bedrijf rond de 40 apps gebruikt terwijl dat er in werkelijkheid bijna 1000 zijn. Dit verschil kan leiden tot een gebrek aan beleidsregels en procedures omtrent de manier waarop medewerkers toegang krijgen tot cloudservices, waardoor cloudapps risicovoller worden. Deze barsten die in de cloud zijn gevonden, nemen ernstige vormen aan. Symantec voorspelt dat als CIO's geen grip krijgen op de cloudapps die binnen hun bedrijf worden gebruikt, er een verschuiving te zien zal zijn in de manier waarop bedreigingen hun omgeving binnendringen.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024