Utrecht, 12 augustus 2019 - Fortinet® (NASDAQ: FTNT), wereldwijd leider in uitgebreide, geïntegreerde en geautomatiseerde oplossingen voor cyberbeveiliging, maakt de beschikbaarheid bekend van het
Global Threat Landscape Report voor het tweede kwartaal van 2019. Volgens de Threat Landscape Index bereikte het aanvalsverkeer in het tweede kwartaal van 2019 een recordhoogte. Er was sprake van een stijging van bijna 4% ten opzichte van het voorgaande jaar. Dit was het gevolg van toenemende activiteit op het gebied van malware en exploits (misbruik van kwetsbaarheden). Een gedetailleerde bespreking van de Threat Landscape Index en de subindexen voor exploits, malware en botnets, compleet met speciale aanbevelingen voor CISO’s, is te vinden op het
blog van Fortinet.
Nieuwe spamcampagnes en trojans omzeilen detectiemechanismen
Uit het onderzoeksrapport blijkt tevens dat veel moderne virussen en andere cyberbedreigingen al gebruik maakten van functionaliteit voor het omzeilen van detectiemechanismen. Cybercriminelen blijken echter steeds geavanceerdere technieken te hanteren om hun aanvallen verborgen te houden.
Uit een recente
spamcampagne blijkt hoe cybercriminelen deze technieken verder optimaliseren om beveiligingsprofessionals te slim af te zijn. Voor deze campagne werd gebruikgemaakt van een phishing-mail met een bijlage in de vorm van een Excel-document. Deze spreadsheet was met behulp van een kwaadaardige macro omgevormd tot een cyberwapen. De macro bevatte functies die ten doel hadden om beveiligingstools te deactiveren, op willekeurige wijze opdrachten uit te voeren, geheugenproblemen te veroorzaken en ervoor te zorgen dat de kwaadaardige code louter op Japanse systemen zou worden uitgevoerd. Er werd specifiek gezocht naar een xIDate-variabele, iets wat nog nooit eerder was gezien.
Een ander voorbeeld is een variant van de banking trojan
Dridex. Deze zorgt ervoor dat de namen en hashcodes van bestanden elke keer wordt gewijzigd wanneer het slachtoffer zich aanmeldt. Dit maakt het bijzonder lastig om de malware op geïnfecteerde host-systemen te detecteren. Het toenemende gebruik van technieken voor het omzeilen van detectiemechanismen wijst eens temeer op de noodzaak van gelaagde beveiliging en gedragsgebaseerde bedreigingsdetectie.
Aanvallen onder de radar met een langetermijnfocus
De infostealer-malware Zegost vormde de spil in een
recente spearphishing-campagne. Net als andere infostealers is het belangrijkste doel van Zegost om informatie op het systeem te verzamelen en die naar buiten te smokkelen. Maar in tegenstelling tot andere infostealers maakt Zegost gebruik van unieke technieken om onder de radar te opereren. De malware maakt bijvoorbeeld gebruik van functionaliteit voor verwijderen van logbestanden. Een dergelijke ‘witwasmethode’ wordt niet in reguliere malware aangetroffen. Een andere interessante omzeilingstechniek van Zegost is het gebruik van een opdracht die de infostealer ‘op ijs zette’ tot en met 14 februari 2019. Pas na deze datum trad zijn infectieroutine in werking.
De cybercriminelen achter Zegost maken gebruik van diverse exploits om een verbinding met hun doelwit te maken en die verbinding in stand te houden. Deze cyberbedreiging heeft daarmee een veel duurzamer karakter dan de meeste malware die momenteel de ronde doet.
Ransomware gericht op organisaties met een flink budget
Diverse cyberaanvallen op overheidsinstellingen en onderwijssystemen bewijzen dat ransomware een serieuze bedreiging voor organisaties blijft. Wat ransomware betreft is er sprake van een merkbare verschuiving van massale, opportunistische aanvallen naar gerichte aanvallen op organisaties die geacht worden over het voldoende geld of reden te beschikken om losgeld te betalen. In sommige gevallen voerden cybercriminelen uitgebreide verkenningen uit alvorens ransomware te installeren op zorgvuldig geselecteerde systemen. Dit vergrootte hun kans op succes.
Een voorbeeld hiervan is de ransomware-variant RobbinHood. Deze schakelt Windows-services uit die ten doel hebben om de versleuteling van data te voorkomen en verbreekt de verbinding met alle netwerkshares om het systeem van het slachtoffer te isoleren. Een nieuwe ransomware-variant genaamd
Sodinokibi lijkt een nieuwe bedreiging voor organisaties te vormen. Deze verschilt qua functionaliteit niet noemenswaardig met de meeste andere ransomware die in het veld wordt aangetroffen. Het zorgwekkende is echter dat Sodinokibi gebruikmaakt van een recent ontdekte kwetsbaarheid die het mogelijk maakt om op afstand willekeurige code uit te voeren.
De toename van het aantal gedetecteerde kwetsbaarheden in het Remote Desktop Protocol (RDP) zoals
BlueKeep wijst erop dat diensten voor toegang op afstand de deur openzetten voor cybercriminelen. Deze kwetsbaarheden kunnen onder meer worden gebruikt om ransomware te verspreiden. Welke aanvalstechniek er ook door cybercriminelen wordt gebruikt, ransomware blijft een serieuze bedreiging voor organisaties. Om deze reden dienen zij een hogere prioriteit toe te kennen aan patching en voorlichting op het gebied van informatiebeveiliging.
Meer aanvallen op industriële besturingssystemen
Volgens het rapport was er in het tweede kwartaal sprake van toenemende kwaadaardige activiteit rond industriële besturingssystemen. Er werden onder meer aanvallen uitgevoerd op systemen voor het bewaken van de omgevingscondities, beveiligingscamera’s en veiligheidssystemen. Een malware-variant die zich richtte op oplossingen voor het beheer van industriële gebouwen bleek in 1% van alle organisaties actief te zijn geweest. Dit lijkt op het eerste gezicht misschien niet veel, maar het is een hoger percentage dan normaliter voor ICS- of SCADA-systemen wordt geobserveerd.
Bedrijven en consumenten maken gebruik van steeds meer ‘smart’ apparatuur. Die trok naar verhouding altijd minder aandacht van cybercriminelen dan hun industriële tegenhangers, maar daar lijkt nu verandering in te komen. De onderzoeksresultaten laten zien dat cybercriminelen op zoek zijn naar nieuwe mogelijkheden om de controle over te nemen van smart apparaten. Aan de beveiliging hiervan wordt minder prioriteit toegekend dan aan andere apparatuur, omdat ze buiten het traditionele IT-beheer vallen. Dit kan ernstige gevolgen hebben voor de beveiliging. Dat geldt zeker voor omgevingen voor telewerken, waarin veilige toegang van essentieel belang is.
Vincent Zeebregts, country manager Fortinet Nederland:
“Cybercriminelen maken gebruik van een steeds breder scala aan slimme aanvalstechnieken. Ze gebruiken snelheid en connectiviteit in hun voordeel. Beveiligingsprofessionals zouden hetzelfde moeten doen om effectievere maatregelen tegen cyberbedreigingen te nemen. Een security fabric-benadering die voorziet in netwerksegmentatie, integratie van beveiligingsoplossingen, praktisch inzetbare bedreigingsinformatie, automatisering en machine learning is van cruciaal belang voor succesvolle beveiliging.”
Over het rapport en de Threat Landscape Index
Het Fortinet Threat Landscape Report is een kwartaalpublicatie die wereldwijde en regionale perspectieven biedt op het actuele bedreigingslandschap. Het vormt de neerslag van de informatie die
FortiGuard Labs in het tweede kwartaal van 2019 verzamelde via het omvangrijke wereldwijde sensornetwerk van Fortinet. De Fortinet Threat Landscape Index (TLI) maakt deel uit van het rapport en brengt de aantallen, regelmaat en ontwikkelingen in kaart voor drie belangrijke en elkaar aanvullende aspecten van het bedreigingslandschap: exploits, malware en botnets.
Aanvullende informatie
- Ga naar het blog van Fortinet voor nadere informatie over dit onderzoek en het volledige Fortinet Threat Landscape Report.
- Lees de wekelijkse Threat Briefs voor gedetailleerdere analyses van actuele cyberbedreigingen en beveiligingsincidenten.
Over Fortinet
Fortinet (NASDAQ: FTNT) beschermt ’s werelds grootste ondernemingen, internetproviders en overheidsorganisaties. Het biedt organisaties intelligente, naadloze bescherming van hun groeiende aanvalsoppervlak en stelt hen in staat om tegemoet te komen aan de steeds hogere eisen die aan hun grenzeloze netwerk worden gesteld, nu en in de toekomst. Alleen de Fortinet Security Fabric-architectuur is in staat om compromisloze beveiliging te bieden als oplossing voor de meest prangende uitdagingen op beveiligingsgebied, of het nu gaat om mobiele, netwerk-, applicatie- of cloudomgevingen. Fortinet heeft wereldwijd de meeste beveiligingsappliances verkocht. Meer dan 415,000 klanten vertrouwen op Fortinet voor effectieve bescherming van hun organisatie. Kom meer te weten op
http://www.fortinet.com, het
blog van Fortinet en
FortiGuard Labs.
Noot voor de redactie [niet voor publicatie]
Meer informatie over dit bericht of over Fortinet kunt u opvragen bij:
Karianne Hoekstra
Zeekhoe Communicatie
M. +31 (0)6-460 80656
E.
karianne@zeekhoe.nl