Wouter Hoeffnagel - 20 mei 2018

Cybercriminelen zetten malware steeds vaker in voor cryptomining

Cybercriminelen kiezen er steeds vaker voor systemen die zij kapen niet in gijzeling te nemen om losgeld te kunnen eisen, maar in te zetten voor cryptomining. Detecties van cryptomining-malware namen flink toe, was de groei vorig jaar nog 13%, nu is het gestegen tot 28%.

Dit blijkt uit het Global Threat Landscape Report van Fortinet over het eerste kwartaal van 2018. Cybercriminelen maken slimmer gebruik van malware en recent gepubliceerde zero day-kwetsbaarheden. Ze zijn daarmee in staat om snelle en grootschalige aanvallen uit te voeren. Hoewel het aantal detecties van exploits (misbruik van kwetsbaarheden) per bedrijf in het eerste kwartaal van 2018 met 13% daalde, nam het aantal detecties van unieke exploits met ruim 11% toe. 73% van alle bedrijven werd het slachtoffer van een exploit met ernstige gevolgen.

Een piek in cryptojacking

Cybercriminelen blijven hun malware verbeteren. Dit maakt de preventie en detectie steeds moeilijker. Het aantal detecties van cryptomining-malware is in Q1 2018 met 28% toegenomen, terwijl deze stijging in het eerste kwartaal van 2017 nog 13% bedroeg. Cryptojacking kwam vaker voor in het Midden-Oosten, Latijns-Amerika en Afrika.

Hoewel cryptomining-malware een relatief nieuwe bedreiging is, geeft die blijk van een ongekende diversiteit. Cybercriminelen ontwikkelen bestandsloze malware om detectie te omzeilen en kwaadaardige code in browsers te infecteren. Cryptominers richten hun pijlen op verschillende besturingssystemen en cryptovaluta’s, waaronder Bitcoin en Monero. Ze gebruiken en optimaliseren daarnaast verspreidingstechnieken die ze hebben overgenomen van andere bedreigingen. Daarbij evalueren ze welke methoden wel en niet succesvol waren om hun kans op succes te vergroten.

Gerichte aanvallen met maximale impact

Malware blijft ingrijpende schade aanrichten, zeker wanneer cybercriminelen die gebruiken voor gerichte aanvallen. Hierbij voeren zij eerst uitgebreide verkenningen binnen het bedrijfsnetwerk uit alvorens een aanval in gang te zetten. Deze voorzichtige aanpak vergroot hun kans op succes. Zodra de cybercriminelen het netwerk zijn binnengedrongen, banen ze zich een weg door het netwerk om vervolgens het meest destructieve onderdeel (de payload) van hun aanval te activeren.

Als voorbeelden noemt Fortinet de Olympic Destroyer-malware en de meer recente SamSam-ransomware. Beide malware-varianten laten volgens het beveiligingsbedrijf zien hoe groot de verwoestende impact is die cybercriminelen kunnen aanrichten door een gerichte aanval te combineren met een schadelijke payload.

Ransomware blijft voor schade zorgen

Ransomware neemt zowel in aantal als geavanceerdheid toe en blijft daarmee een belangrijk beveiligingsprobleem voor organisaties. De makers van ransomware maken gebruik van nieuwe methoden zoals social engineering en gefaseerde aanvallen om detectiemechanismen te omzeilen en systemen te infecteren.

In januari maakte de GandCrab-ransomware zijn entree. Dit was de eerste ransomware-variant die losgeld eiste in de vorm van de cryptovaluta Dash. Twee andere ransomwarevarianten die zich in het eerste kwartaal van 2018 tot belangrijke bedreigingen ontpopten, waren BlackRuby en SamSam.

Meerdere aanvalskanalen

Hoewel de aanvallen Meltdown en Spectre het nieuws domineerden, waren de meest voorkomende aanvallen gericht op mobiele apparaten of bekende exploits in routers of internettechnologie. 21% van alle organisaties deed melding van mobiele malware. Dit is een stijging van 7% en wijst erop dat IoT-apparaten een doelwit blijven vormen.

Cybercriminelen blijven gretig gebruikmaken van bekende en ongepatchte kwetsbaarheden en recent gepubliceerde zero day-kwetsbaarheden. Technologie van Microsoft bleef het belangrijkste doelwit voor exploits. Routers kwamen op de tweede plaats. Content management systems en internetgerichte technologieën werden eveneens zwaar getroffen.

Cyberhygiëne vereist meer dan patchen

Uit metingen van het aantal opeenvolgende dagen waarin sprake is van aanhoudende botnet-communicatie blijkt dat cyberhygiëne om meer vraagt dan alleen patching. Zo is het belangrijk om geïnfecteerde systemen grondig te reinigen. Uit de onderzoeksgegevens bleek dat 58,5% van alle botnet-infecties dezelfde dag worden gedetecteerd en ongedaan kon worden gemaakt. 17,6% van alle botnets blijven twee dagen achtereen in stand. 7,3% hield het drie dagen vol.

Circa 5% van alle botnets blijft langer dan een week actief. Zo werd de Andromeda-botnet in het vierde kwartaal van 2017 uit de lucht gehaald. Uit data voor het eerste kwartaal blijkt dat het botnet inmiddels opnieuw prominent van zich laat horen.

Cyberaanvallen op operationele technologie (OT)

Hoewel OT-aanvallen een kleiner percentage van alle bedreigingen vertegenwoordigen, zijn de ontwikkelingen op dit gebied alarmerend. Operationele technologie wordt steeds meer verbonden met het internet, en dat heeft serieuze gevolgen voor de beveiliging.

De overgrote meerderheid van de exploits richt zich momenteel op de twee meest gebruikte industriële communicatieprotocollen. Omdat die op brede schaal worden ingezet, vormen ze een gewild doelwit. Uit de onderzoeksgegevens van Fortinet blijkt dat pogingen om misbruik te maken van kwetsbaarheden in industriële besturingssystemen (ICS) in Azië iets vaker voorkomen dan in andere regio’s.

Alarmerende ontwikkelingen

Vincent Zeebregts, country manager Fortinet Nederland: “Er is sprake van alarmerende ontwikkelingen op het gebied van cyberbedreigingen. Cybercriminelen geven blijk van hun efficiëntie en flexibiliteit door misbruik te maken van het groeiende digitale aanvalsoppervlak en recent gepubliceerde zero day-bedreigingen. Daarnaast maken ze gebruik van malware kits van de zwarte markt. IT- en OT-teams beschikken over onvoldoende middelen om hun systemen effectief te beschermen. Het goede nieuws is echter dat de implementatie van een security fabric voorziet in snelheid, integratie en geavanceerde analysemogelijkheden en zo uitgebreide bescherming kan bieden.”

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024