Misbruik van gestolen inloggegevens fors gestegen

Misbruik van gestolen inloggegevens is in het vierde kwartaal van 2017 fors gestegen. Meer dan 40 procent van de inlogpogingen is malafide. Dit terwijl credential stuffing-aanvallen volgens het Ponemon Institute een organisatie tot 2,7 miljoen dollar schade per jaar kan opleveren. DDoS-aanvallen blijven daarnaast een constante dreiging vormen en het Mirai botnet blijkt nog steeds in staat tot behoorlijke pieken in activiteit. Nederland is na de Verenigde Staten het vaakst de bron van DDoS-aanvallen, namelijk 47 miljoen keer.

Dit blijkt uit het Fourth Quarter, 2017 State of the Internet / Security Report door Akamai Technologies. Onderzoekers van Akamai zien dat de recente hackactiviteiten zich richten op remote code execution-kwetsbaarheden in de software van ondernemingen om zo enterprise systemen onderdeel te maken van een botnet. Zo hebben hackers kwetsbaarheden verkend in de HTTP-server in GoAhead – met meer dan 700.000 potentiële doelen – en Oracle WebLogic Server. De onthulling van de Spectre en Meltdown kwetsbaarheden eerder dit jaar hebben de deur geopend voor een nieuwe golf van aanvallen, waaronder de verborgen installatie van cryptomining-programma’s.

Financieel gewin

“Een belangrijk motief voor aanvallers is altijd al financieel gewin geweest. De laatste jaren zien we dat aanvallers hiervoor steeds vaker gebruikmaken van directe methodes, zoals ransomware,” zegt Martin McKeay, senior security advocate bij Akamai en senior editor van State of the Internet / Security Report. “Cryptomining is voor aanvallers de snelste weg naar het in geld omzetten van hun activiteiten. Dit zorgt direct voor geld in hun cryptowallet.”

Uit het onderzoek blijkt ook dat het totaal aantal DDoS-aanvallen in het vierde kwartaal van 2017 met 14 procent is gestegen in verhouding met hetzelfde kwartaal in 2016. Hoewel uit eerdere rapporten de intensiteit van het Mirai botnet leek af te nemen, registreerde Akamai eind november een piek van meer dan 1 miljoen unieke IP-adressen die door het botnet werden gebruikt om het internet te scannen. Dit toont aan dat Mirai nog steeds in staat is om explosief te groeien.

Belangrijkste bevindingen

Andere belangrijke bevindingen uit het Akamai’s Fourth Quarter, 2017 State of the Internet / Security Report zijn:

• De hospitality-industrie is het grootste slachtoffer van credential-aanvallen. 82 procent van de login-pogingen in deze sector komt van kwaadaardige botnets.
• De financiële sector zag een sterke stijging in het aantal DDoS-aanvallen, met 298 aanvallen op 37 verschillende organisaties in het laatste kwartaal.
• Applicatie layer DDoS-aanvallen zoals GET, PUSH en POST flood attacks namen met 115 procent in volume toe in Q4, vergeleken met Q3.
• Het aantal DDoS-aanvallen vanuit de VS steeg met 31 procent in Q4 2017 vergeleken met Q4 2016.
• Akamai signaleerde 146 Petabytes aan botverkeer in november en 145 Petabytes in december, wat neerkomt op ongeveer 550 Mbps.
• Akamai wist 4.364 aanvallen te mitigeren op het routed platform in Q4. In heel 2017 signaleerde Akamai in totaal 15.965 aanvallen.

Bots zorgen voor toenemende dreiging credential stuffing

Op een gemiddelde dag monitort Akamai meer dan 2.750 verzoeken van bots per seconde. Dat is meer dan 30 procent van het totale webverkeer - met uitzondering van videostreaming - op het platform. Hoewel een groot deel van deze botactiviteit gelegitimeerd is, zetten cybercriminelen steeds vaker bots in. Veel van de botnets die verantwoordelijk zijn voor DDoS-aanvallen worden bijvoorbeeld ingezet om gestolen inloggegevens te misbruiken. Van de meer dan 17 miljard inlogverzoeken die in november en december op het platform van Akamai werden getrackt, werd bijna de helft (43 procent) gebruikt voor het misbruiken van inloggegevens.

“Toenemende automatisering en datamining hebben gezorgd voor een enorme toename van botverkeer om websites en online diensten te beïnvloeden. Hoewel de meerderheid van dit verkeer toegevoegde waarde heeft voor online bedrijven zoeken cybercriminelen naar manieren om de krachtige volumes van bots in te zetten voor kwalijke doeleinden,” zegt McKeay. “Ondernemingen moeten monitoren wie hun website bezoekt om onderscheid te kunnen maken tussen mensen en bots, zowel legitieme als kwaadaardige bots. Niet al het webverkeer en niet alle bots zijn immers gelijk.”

Het Q4 2017 State of the Internet / Security Report is gratis beschikbaar via de website van Akamai. Dr. Larry Ponemon, oprichter van het Ponemon Institute, geeft op 28 februari tijdens een webinar meer informatie over de kosten van credential stuffing.