Onderzoek Fortinet: bijna 60% van alle cyberbedreigingen deelt minimaal één domein

threat-report-q1-2019-1

Fortinet heeft een nieuwe editie van zijn kwartaalpublicatie getiteld Global Threat Landscape Report gepubliceerd. Uit de onderzoeksresultaten voor het eerste kwartaal van 2019 blijkt dat cybercriminelen steeds geavanceerder te werk gaan. Ze maken onder meer gebruik van gerichte aanvallen, op maat ontwikkelde ransomware, living-off-the-land (LoTL)-technieken en gedeelde infrastructuren om hun kans op succes te vergroten. 

De belangrijkste onderzoekbevindingen die in het rapport aan bod komen zijn:

Dataverkeer voor en na hacks: De onderzoekers van Fortinet analyseerden op welke dagen van de week verschillende aanvalsstadia plaatsvonden. Het bleek dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Een vergelijking van het webfiltering-volume voor twee fasen in de killchain tijdens weekdagen en weekends wees uit dat activiteiten in aanloop naar hacks met ruwweg drie keer grotere waarschijnlijkheid tijdens werkdagen plaatsvinden. Wat de activiteit na hacks betreft is er sprake van minder verschillen tussen werkdagen en weekends.

De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker is benodigd, zoals het klikken op een link in een phishing-mail. Dergelijke acties zijn echter niet vereist voor de communicatie vanuit gehackte omgevingen met de command & control-server van cybercriminelen. Dit soort activiteit kan op elke dag van de week plaatsvinden.

Cybercriminelen hebben oog voor deze dynamiek en proberen om optimaal gebruik te maken van kansen tijdens werkdagen, waarop sprake is van intensief internetgebruik. Het maken van een onderscheid tussen werkdagen en weekends bij het filteren van het internetverkeer is daarom van groot belang om inzicht te verwerven in de killchain van uiteenlopende cyberaanvallen. 

De meeste cyberbedreigingen delen infrastructuren: Een interessante trend is dat een aantal cybercriminelen in sterkere mate gebruikmaakt van gemeenschappelijke infrastructuren in plaats van een dedicated infrastructuur. Bijna 60% van alle cyberbedreigingen deelde minimaal één domein met andere bedreigingen. Dit wijst erop dat de meerderheid van alle botnets gebruikmaakt van een in de praktijk bewezen infrastructuur. IcedID is een goed voorbeeld van deze ‘waarom zou je het zelf ontwikkelen als je het kunt lenen’-aanpak.

Cyberbedreigingen die gebruikmaken van dezelfde infrastructuur doen dat vaak in hetzelfde stadium van de killchain. Het komt maar zelden voor dat een cyberbedreiging gebruikmaakt van een specifiek domein om misbruik te maken van kwetsbaarheden en datzelfde domein later gebruikt voor command & control-verkeer. Dit lijkt erop te wijzen dat de infrastructuur een bepaalde functie binnen aanvalscampagnes vervult. Organisaties die inzicht verwerven in welke cyberbedreigingen infrastructuren delen en tijdens welke fase in de aanvalsketen kunnen de verdere ontwikkeling van malware en botnets beter voorspellen. 

Contentmanagement vraagt om continu beheer: Cybercriminelen hebben de neiging om in zwermen op zoek te gaan naar nieuwe kansen. Ze richten hun pijlen op eerder met succes misbruikte kwetsbaarheden binnen populaire nieuwe technologieën, zodat ze kansen snel en optimaal kunnen benutten. Internetplatforms die het eenvoudiger voor consumenten en bedrijven maken om een internetaanwezigheid op te bouwen zijn bijvoorbeeld een populair doelwit. Deze platforms worden te pas en onpas door cybercriminelen bestookt, zelfs via plug-ins van externe leveranciers. Hieruit blijkt eens temeer hoe belangrijk het is om direct nieuwe patches te installeren en inzicht te verwerven in de laatste ontwikkelingen rond exploits.

Ransomware is nog lang niet van het toneel verdwenen: Gerichte aanvallen lijken het stokje van ransomware-aanvallen te hebben overgenomen. Toch is ransomware absoluut nog niet van het toneel verdwenen. Uit diverse aanvallen blijkt dat aanvallers hun ransomware aanpassen om doelwitten met een hoge waarde te bestoken en speciale toegangsrechten tot hun netwerk te verkrijgen.

LockerGoga is een goed voorbeeld van ransomware die voor gerichte en meerfasige aanvallen wordt gebruikt. Qua geavanceerdheid onderscheidt LockerGoga zich nauwelijks van andere ransomware. Maar terwijl de meeste ransomware-varianten verdoezelingstechnieken inzetten om detectie te vermijden, blijkt uit een analyse dat LockerGoga nauwelijks van dit soort technieken gebruikmaakt. Dit doet vermoeden dat er gerichte aanvallen met de ransomware-variant worden uitgevoerd, en dat de makers ervan overtuigd zijn dat hun malware moeilijk te detecteren is.

Een andere vreemde eend in de bijt is Anatova. Zoals de meeste andere ransomware-varianten is het doel van Anatova om zoveel mogelijk bestanden op systemen van slachtoffers te versleutelen. Het enige verschil is dat de ransomware systematisch voorkomt dat bepaalde bestanden worden versleuteld als dat ten koste gaat van de stabiliteit van het besmette systeem. Anatova vermijdt ook computers als er tekenen zijn dat het om honeypots (lokservers) gaat die worden gebruikt voor het verzamelen en analyseren van malware.

Uit deze twee voorbeelden blijkt dat beveiligingsprofessionals hun focus moeten blijven richten op het installeren van patches en het maken van back-ups, zodat ze in ieder geval alle ‘huis-tuin-en-keuken’ ransomware kunnen afslaan. Gerichte bedreigingen vragen echter om meer maatwerk op beveiligingsgebied.

Living Off the Land-technieken zijn populair onder hackers: Cybercriminelen blijven ook als ze een netwerk zijn binnengedrongen hun aanvalstechnieken verder ontwikkelen. Daarmee kunnen ze maximaal effect sorteren. Voor dit doel doen ze steeds vaker een beroep op tools voor tweeledig gebruik of voeren ze aanvallen uit via malware-tools die reeds op de systemen van het doelwit zijn geïnstalleerd. Deze ‘living off the land (LoTL)’-tactiek stelt hackers in staat om hun kwaadaardige activiteiten in bonafide processen te verbergen om detectie te vermijden. LoLT-tools maken het bovendien moeilijker om aanvallen tot specifieke hackers te herleiden. Helaas kunnen cybercriminelen een beroep doen op een breed scala aan bonafide tools om aanvallen uit te voeren en zich in het volle zicht te verbergen. Beveiligingsprofessionals doen er dus goed aan om de toegang tot beheertools zoveel mogelijk in te perken en alle activiteit binnen de infrastructuur in logbestanden vast te laten leggen.

De noodzaak van een dynamische en proactieve inzet van bedreigingsinformatie

Organisaties kunnen zich pas effectief beschermen tegen geavanceerde bedreigingen en geautomatiseerde aanvallen als ze bedreigingsinformatie op dynamische en proactieve wijze inzetten binnen hun hele netwerk. Deze kennis maakt het mogelijk om trends in aanvallen op het digitale aanvalsoppervlak te signaleren en best practices voor de beveiliging op prioriteit in te delen op basis van de actuele doelwitten van cybercriminelen. Als bedreigingsinformatie niet in real time wordt toegepast op elke beveiligingsvoorziening, boet die informatie fors aan waarde in. Alleen een uitgebreide, geïntegreerde en geautomatiseerde security fabric biedt de snelheid en schaalbaarheid die nodig zijn om de complete infrastructuur veilig te houden, van het IoT tot de netwerkrand en van de kern van het netwerk tot alle cloud-omgevingen.