Cybercriminaliteit in 2018: grootste campagnes, meest kritische kwetsbaarheden en kwetsbaarste applicaties

Het Global Threat Intelligence Center (GTIC) van NTT Security monitort doorlopend hackingcampagnes, kritische kwetsbaarheden en kwetsbare applicaties. De items die het meeste risico lopen, komen vervolgens terecht in security bulletins en Emerging Threat Advisories. En die worden rechtstreeks naar klanten over de hele wereld verstuurd, zodat zij meteen maatregelen kunnen nemen. Waar we ons in 2019 tegen moeten wapenen? GTIC-onderzoekers bekeken alle security bulletins en Emerging Threat Advisories die vorig jaar verstuurd zijn en zetten op basis daarvan enkele trends op een rij.

NTT Security Grootste campagnes

1. Meerdere campagnes vanuit Noord-Korea APT HIDDEN COBRA

  • Gebruik van de Joanap-backdoor Trojan- en Brambul-SMB-worm (Server Message Block)
  • TYPEFRAME-malwarecampagne
  • FASTCash-ATM-hackingcampagne

2. Door de Russische staat gesponsorde hacking

  • Hackingcampagne gericht op de energiesector en andere kritische infrastructuurbranches
  • Campagne die gebruikmaakt van geïnfecteerde routers om netwerkinfrastructuren aan te vallen

3. Emotet-malspamcampagne

  • Wereldwijde campagne
  • Slim, zichzelf constant aanpassend

GTIC-onderzoekers zagen meerdere door de staat gesponsorde campagnes in zowel Noord-Korea als Rusland. Noord-Korea maakte gebruik van backdoor-Trojans, -wormen, -malware en zelfs een hackingcampagne gericht op pinautomaten. Rusland focuste daarentegen op kritische- infrastructuursectoren en maakte gebruik van routers om netwerkinfrastructuren aan te vallen.

Daarnaast was er een wereldwijde campagne met Emotet-malware. De cybercriminelen hierachter zijn slim: ze passen hun aanvalspatroon continu aan voor maximale effectiviteit.

Meest kritische kwetsbaarheden

Boven aan de lijst van meest kritische kwetsbaarheden van vorig jaar staan Meltdown en Spectre. Even een terugblik. In januari 2018 maakte Google’s Project Zero de details bekend van niet openbaar gemaakte kwetsbaarheden in CPU-chips van Intel en noemde deze kwetsbaarheden Spectre en Meltdown. Hierdoor was een aanvaller op CPU-hardware-implementaties in staat privileged memory te lezen. Dat de performance van gepatchte systemen mogelijk verminderd werd, maakte het er niet makkelijker op.

Volgens Project Zero is Meltdown van invloed op Intel-processors. Aanvallers banen zich een weg door de verdediging die ervoor zorgt dat applicaties geen toegang hebben tot willekeurige locaties in het kernel memory. Door geheugenruimtes te scheiden en te beschermen, is te voorkomen dat applicaties per ongeluk interfereren met elkaars data en dat kwaadaardige software dat kan zien en aanpassen. Meltdown maakt dit essentiële proces onbetrouwbaar.

GTIC-onderzoekers bleven deze kwetsbaarheden analyseren. Toen Spectre en Meltdown in mei 2018 weer opdoken, namen de GTIC-onderzoekers extra middelen in de arm om nieuwe varianten van de kwetsbaarheden – bekend als Spectre 3a en 4 – te onderzoeken.

Misschien wel het meest vervelende aan Spectre en Meltdown was dat deze vulnerabilities niet eenvoudig te patchen zijn. GTIC-onderzoekers doen de volgende aanbevelingen.

  • Vraag je hardware- en softwareleveranciers om patches of microcode.
  • Gebruik een testomgeving om elke patch te verifiëren voordat je die implementeert.
  • Monitor de performance van je kritische applicaties en diensten.

Applicaties die meeste securitypatches nodig hebben

Security-experts over de hele wereld zijn het niet bepaald met elkaar eens als het gaat om welke applicaties het meest kritisch zijn om te patchen. Waar ze wel eensgezind over zijn, is dat Adobe Flash Player zóveel kritische kwetsbaarheden heeft dat je organisatie stukken veiliger is als je de applicatie in je omgeving uitschakelt. Alleen al in 2018 had Adobe Flash Player 24 kwetsbaarheden. 100 procent daarvan was door aanvallers op afstand te misbruiken en 92 procent vereiste geen authenticatie.

Sterker nog, 28 procent van alle security bulletins en Emerging Threat Advisories die GTIC vorig jaar verstuurde ging over kwetsbaarheden in Adobe Flash Player. Daarmee was de applicatie de meest genoemde in alle content die GTIC in 2018 uitbracht.

Er worden nog regelmatig nieuwe kritische kwetsbaarheden gevonden in Adobe Flash Player. Om je omgeving te beschermen, raadt NTT Security het volgende aan.

  • Is de applicatie niet écht noodzakelijk voor werkzaamheden binnen je organisatie, schakel Adobe Flash Player dan uit.
  • Kan dat niet, zorg er dan voor dat je de nieuwste patches geïnstalleerd hebt op alle machines waarop de applicatie draait.
  • Zodra er een patch voor een kwetsbaarheid in Adobe Flash Player uitkomt, geef daar dan prioriteit aan om je omgeving te beschermen tegen op afstand uitgevoerde aanvallen.