8 op de 10 bedrijven is in Q3 2017 door ernstige cyberaanval getroffen

79% van alle bedrijven werd in het derde kwartaal van 2017 door ernstige aanvallen getroffen. Ook krijgen veel organisaties te maken met terugkerende botnetinfecties en heeft één op de vier bedrijven mobiele dreigingen gedetecteerd. Ook is een toename zichtbaar in de inzet van geautomatiseerde malware.

Dit blijkt uit het Global Threat Landscape Report van Fortinet, dat is gebaseerd op bedreigingsinformatie die FortiGuard Labs. Bijna acht op de tien bedrijven werd in het derde kwartaal van 2017 door ernstige aanvallen getroffen. De onderzoeksgegevens voor deze periode wijzen op de detectie van 5.973 unieke exploits, 14.904 unieke malware-varianten uit 2.646 verschillende malware-families en 245 unieke botnets. Fortinet identificeerde dit jaar tot dusver 185 zero day-kwetsbaarheden.

Hardnekkige botnetinfecties

Ook kregen veel organisaties te maken met terugkerende botnetinfecties, iets wat Fortinet alarmerend noemt. Dat kan twee dingen betekenen: de getroffen organisaties hadden ofwel geen zicht op de totale omvang van de botnetinfectie, of ze werden opnieuw met dezelfde malware besmet, zodat het botnet zijn activiteiten kon hervatten.

De exploit die door cybercriminelen werd gebruikt voor de grootschalige hack bij Equifax, kwam het vaakst voor. Vorig kwartaal werden er meer dan 6.000 unieke detecties van geregistreerd, en dit kwartaal prijkte de exploit opnieuw bovenaan de lijst. Drie exploits die tegen het Apache Struts-framework waren gericht haalden de top tien van meest voorkomende exploits. Hieruit blijkt dat aanvallers als een zwerm afkomen op kwetsbare prooien.

Mobiele bedreigingen

Een op de vier bedrijven detecteerde mobiele malware. Vier specifieke families van mobiele malware vielen dit kwartaal voor het eerst op vanwege hun grootschalige verspreiding. Hieruit valt af te leiden dat mobiele technologie steeds vaker een doelwit vormt en dat bedreigingen een geautomatiseerd en polymorf (veelvormig) karakter aannemen. Dit is een zorgwekkende ontwikkeling met het oog op de aankomende feestdagen, waarin er veel aankopen zullen worden gedaan vanaf mobiele apparaten en IoT-apparaten een populair cadeau zullen vormen.

De meest voorkomende functionaliteit bij de belangrijkste malware-families was het downloaden, uploaden en installeren van aanvullende malware op geïnfecteerde systemen. Hierbij wordt kwaadaardige code langs legacy verdedigingsmechanismen gesmokkeld door die in een dynamische verpakking te omhullen. Malware-varianten die verbindingen op afstand maken, toetsaanslagen vastleggen en systeeminformatie verzamelen kwamen eveneens veel voor. Deze geavanceerde technieken zijn sinds kort uitgegroeid tot de norm. In alle gevallen gaat het om intelligente en geautomatiseerde malware.

Ransomware

Na een periode van inactiviteit in de eerste helft van het jaar maakte de ransomware-variant Locky een grootse comeback met drie nieuwe aanvalscampagnes. Circa 10% of van alle bedrijven deed melding van een aanval met Locky. Minstens 22% van alle organisatie werd tijdens het derde kwartaal getroffen door een bepaalde vorm van ransomware.

Middelgrote bedrijven werden het slachtoffer van meer botnetinfecties. Hieruit blijkt dat ze met een groot aantal beveiligingsproblemen worstelen. Cybercriminelen zien middelgrote organisaties als makkelijke prooien omdat ze vaak niet over evenveel beveiligingspersoneel en -technologie beschikken als grote ondernemingen, maar wel waardevolle data in huis hebben. Tegelijkertijd groeit het aanvalsoppervlak van middelgrote ondernemingen in hoog tempo doordat ze steeds meer gebruikmaken van cloud-diensten.

Aanvallen op vitale SCADA-systemen

Naast aanvallen met hoge volumes zoals die tegen Apache Struts is er sprake van bedreigingen die onder de radar opereren of een spoor van vernieling aanrichten binnen getroffen organisaties. Van alle gedetecteerde exploits die waren gericht op uiteenlopende typen supervisory control and data access (SCADA)-systemen, oversteeg er slechts een de drempel van één op de duizend detecties. Geen van deze exploits werd door meer dan 1% van alle bedrijven geobserveerd. Indringingspogingen en downtime van bedrijfsnetwerken zijn al erg genoeg, maar beveiligingsincidenten in SCADA-omgevingen brengen de vitale infrastructuren in gevaar waarvan vele mensenlevens afhankelijk zijn. Daaruit blijkt het belang van dit percentage.

Fortinet stelt dat de trends als bedreigingsdata erop wijzen dat er in de nabije toekomst een golf van nieuwe typen aanvallen op stapel staat. Cybercriminelen maken reeds vakkundig gebruik van innovaties op het gebied van automatisering om aanvallen te ontwikkelen die met steeds kwaadaardiger code misbruik maken van kwetsbaarheden en zich met hoge snelheid en op grote schaal verspreiden.

Tips

Gezien het voortdurend veranderende aanvalsoppervlak is het volgens Fortinet van belang dat bedrijven nieuwe beveiligingsstrategieën zowel snel als flexibel kunnen uitvoeren. Ook moeten zij indien nodig beveiligingstechnieken en -technologieën kunnen toevoegen zonder de bestaande infrastructuur op de schop te hoeven gooien. Daarnaast wordt het gezien de toenemende aantallen, de snelheid en het automatiseringsgehalte van aanvallen steeds belangrijker om het patchen van kwetsbaarheden op prioriteit in te delen op basis van wat er in het veld gebeurt. Op deze manier kunnen bedrijven hun focus op de meest kritische kwetsbaarheden richten. Daarnaast adviseert Fortinet een strategie voor bedreigingsdetectie en incidentrespons te hanteren die dit proces bespoedigt met een combinatie van technologie en menselijk inzicht.

Vincent Zeebregts, country manager Nederland bij Fortinet: “Of het nu gaat om WannaCry in mei of Apache Struts in september, telkens weer zetten bekende maar niet gepatchte kwetsbaarheden de deur open voor cyberaanvallen. Het is daarom van cruciaal belang dat organisaties alert blijven op nieuwe bedreigingen en kwetsbaarheden. Tegelijkertijd moeten ze goed in de gaten houden wat er binnen hun eigen omgeving gebeurt. Cybercriminelen maken gebruik van automatisering en scripts. Dat betekent dat we onze beveiliging naar een hoger peil moeten tillen in reactie op de voortdurende aanvallen.”