Wouter Hoeffnagel - 30 mei 2019

Bijna 60% van alle cyberbedreigingen deelt minimaal één domein

Bijna 60% van alle cyberdreigingen in het eerste kwartaal van 2019 deelde tenminste één domein met andere dreigingen. Cybercriminelen gaan steeds geavanceerder te werk. Ze maken onder meer gebruik van gerichte aanvallen, op maat ontwikkelde ransomware, living-off-the-land (LoTL)-technieken en gedeelde infrastructuren om hun kans op succes te vergroten. Cybercriminelen slaan vaak toe tijdens werkuren.

Dit blijkt uit de Threat Landscape Index van beveiligingsbedrijf Fortinet. De onderzoekers analyseerden onder meer op welke dagen van de week verschillende aanvalsstadia plaatsvonden. Hieruit blijkt dat activiteiten in aanloop naar hacks drie keer vaker op werkdagen worden uitgevoerd dan in het weekend. Als gekeken wordt naar activiteiten nadat een hack is uitgevoerd is er minder verschil zichtbaar tussen werkdagen en weekenden.

Handeling van gebruiker nodig

Fortinet verklaart dit doordat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker benodigd is, zoals het klikken op een link in een phishing-mail. Dergelijke acties zijn echter niet vereist voor de communicatie vanuit gehackte omgevingen met de command & control-server van cybercriminelen. Dit soort activiteit kan dan ook op elke dag van de week plaatsvinden.

Cybercriminelen hebben oog voor deze dynamiek en proberen om optimaal gebruik te maken van kansen tijdens werkdagen, waarop sprake is van intensief internetgebruik. Het maken van een onderscheid tussen werkdagen en weekends bij het filteren van het internetverkeer is daarom van groot belang om inzicht te verwerven in de 'killchain' (red: een model dat een cyberaanval opdeelt in verschillende fasen) van uiteenlopende cyberaanvallen.

Veel cyberdreigingen delen infrastructuur

Cybercriminelen maken voor aanvallen steeds vaker gebruik van gemeenschappelijk infrastructuren in plaats van een dedicated infrastructuur die hier specifiek voor is opgezet. Bijna 60% van alle cyberdreigingen die Fortinet heeft geanalyseerd deelde tenminste één domein met andere dreigingen. Als voorbeeld van een botnet dt een dergelijke aanpak hanteert noemt het beveiligingsbedrij IcedID.

Cyberbedreigingen die gebruikmaken van dezelfde infrastructuur doen dat vaak in hetzelfde stadium van de killchain. Het komt maar zelden voor dat een cyberbedreiging gebruikmaakt van een specifiek domein om misbruik te maken van kwetsbaarheden en datzelfde domein later gebruikt voor command & control-verkeer. Dit lijkt erop te wijzen dat de infrastructuur een bepaalde functie binnen aanvalscampagnes vervult. Organisaties die inzicht verwerven in welke cyberbedreigingen infrastructuren delen en tijdens welke fase in de aanvalsketen kunnen de verdere ontwikkeling van malware en botnets beter voorspellen.

Ransomware

Gerichte aanvallen lijken het stokje van ransomware-aanvallen te hebben overgenomen. Desondanks wijst Fortinet erop dat ransomware nog niet van het toneel is verdwenen. Uit diverse aanvallen blijkt dat aanvallers hun ransomware aanpassen om waardevolle doelwitten gericht aan te vallen en speciale toegangsrechten tot hun netwerken te verkrijgen.

LockerGoga is een voorbeeld van ransomware die voor gerichte en meerfasige aanvallen wordt gebruikt. Wat betreft geavanceerdheid onderscheidt LockerGoga zich nauwelijks van andere ransomware. Waar de meeste ransomware-varianten echter technieken inzetten om detectie te vermijden, blijkt LockerGoga nauwelijks van dit soort technieken gebruik te maken. Fortinet vermoedt dat aanvallers gerichte aanvallen met de ransomware-variant uitvoeren en ervan overtuigd zijn dat hun malware moeilijk te detecteren is.

Een andere vreemde eend in de bijt is Anatova. Zoals de meeste andere ransomware-varianten is het doel van Anatova om zoveel mogelijk bestanden op systemen van slachtoffers te versleutelen. Het enige verschil is dat de ransomware systematisch voorkomt dat bepaalde bestanden worden versleuteld als dat ten koste gaat van de stabiliteit van het besmette systeem. Anatova vermijdt ook computers als er tekenen zijn dat het om honeypots (lokservers) gaat die worden gebruikt voor het verzamelen en analyseren van malware.

Fortinet adviseert security professionals zich tegen dergelijke ransomware te wapenen door systemen up-to-date houden en back-ups te maken. Dit is volgens het bedrijf voldoen om ‘huis-tuin-en-keuken’ ransomware af te kunnen slaan. Gerichte bedreigingen vragen volgens het bedrijf echter om meer maatwerk op beveiligingsgebied.

Living Off the Land-technieken

Cybercriminelen blijven ook als ze een netwerk zijn binnengedrongen hun aanvalstechnieken verder ontwikkelen met als doel hun winst te maximaliseren. Steeds vaker doen aanvallers hiervoor een beroep op tools voor legitieme doeleinden zijn ontwikkeld of voeren aanvallen uit via malware-tools die reeds op de systemen van het doelwit zijn geïnstalleerd. Deze ‘living off the land (LoTL)’-tactiek stelt hackers in staat om hun kwaadaardige activiteiten in bonafide processen te verbergen om detectie te vermijden. LoLT-tools maken het bovendien moeilijker om aanvallen tot specifieke hackers te herleiden.

Het beveiligingsbedrijf adviseert de toegang tot beheertools zoveel mogelijk in te perken en alle activiteit binnen de infrastructuur in logbestanden vast te laten leggen.

Beveiligingsstrategie toekomstbestendig maken

Phil Quade, chief information security officer bij Fortinet: "Onze onderzoeksbevindingen wijzen helaas uit dat cybercriminelen de strategieën en aanvalstechnieken van staatshackers kopiëren. Ze richten hun pijlen op dezelfde netwerken en nieuwe apparaten. Organisaties moeten hun beveiligingsstrategie herzien om die toekomstbestendiger te maken en cyberbedreigingen beter af te kunnen slaan. Dit vraagt om een meer wetenschappelijke benadering van cybersecurity en een effectieve toepassing van de basisprincipes op het gebied van beveiliging. Het omarmen van een security fabric-aanpak met micro- en macrosegmentatie en de inzet van automatisering en machine learning kan organisaties enorm helpen om cybercriminelen het nakijken te geven."

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024