Over twee weken sluiten we het jaar 2018 alweer af. SophosLabs heeft het jaar 2018 alvast voor je geanalyseerd, waarmee we een terugblik tonen over de aanvallen, malware, en exploit trends van het afgelopen jaar. Het gehele rapport is nu beschikbaar. Ben op de hoogte van de huidige trends en voorkom dat jij en/of je bedrijf in 2019 een target wordt voor cybercriminelen:
Het SophosLabs 2019 Threat Report
Het SophosLabs 2019 Threat Report op Naked Security
Uit het rapport zijn een drietal thema’s te onderscheiden over cyber aanvallen welke wereldwijd bekendheid geniet: het gebruik van handmatige aanvalstechnieken om Ransomware te installeren; De adoptie van de zogenaamde ‘living off the land’ technieken bij een breed segment van malware distributie netwerken; En het groeiende gevaar van ‘Cryptocurrency mining’ en botnets welke de traditionele technologie platformen aantasten, zoals mobiele apparaten en routers.
Doelgerichte handmatige aanvallen
Eerder dit jaar is het SamSam rapport naar buiten gebracht. Dit was het eindresultaat van een onderzoek dat bijna 3 jaar heeft geduurd en is tot uiting gebracht door middel van observaties, analyses en support door een groot team met diverse soorten functies binnen Sophos. Het onderzoek highlighted de unieke skills van een ervaren systeem administrator. Daarvoor moet eerst ingebroken worden op een enterprise netwerk. Vervolgens moesten de gegevens van de administrator achterhaald worden, en tot slot werd dit gebruikt om het interne security systeem en netwerk te manipuleren. De wijze van dit soort aanvallen betekende dat, ondanks dat er minder aanvallen per week plaatsvonden, de resultaten veel ernstiger waren, en daardoor kon steeds meer losgeld gevraagd worden. De verschillende soorten malware evalueerden zich om efficiënter en kwaadwillender te worden.
Na de publicatie van het SamSam rapport leek het alsof de SamSam aanvaller minder actief werd, maar het aantal copycats met dezelfde soort technieken bleef stijgen en gingen zich focussen op grote netwerken waarop zij een aanval wilde richten. De rode draad in het verhaal: Elke groep van aanvallers startte de inbraak door het vinden van een Windows computer met internetverbinding, met behulp van de Remote Desktop Protocol.
Het gebruik van beschikbare Windows tools
Al een lange tijd zijn wij ons ervan bewust dat bepaalde malware aanvallers technieken gebruikten die zich richtte op features die elk Windows apparaat heeft en wat vervolgens de opstap is om te komen tot de uiteindelijke malware. Echter in 2018 stuurden veel aanvallers hun slachtoffers nog steeds e-mails in de vorm van een daadwerkelijk kwaadwillend programma, en maakte gebruik van een aantal met elkaar verbonden, niet-uitvoerbare en kwetsbare Microsoft Office scripts, en macros van Office documenten om aanvallen te ontwikkelen welke het lastig maakte om te identificeren en stoppen, doordat de complexiteit en variatie toenam.
Huidige aanvallen maken vaak gebruik van een combinatie van PowerShell, de Windows Script Host, en “mal-docs” om een killchain te ontwikkelen welke is gemaakt om analyses te dwarsbomen en het ontwijken van de meest gebruikelijke methoden waarmee aanvallen kunnen worden onderschept of gestopt.
Mobiele en IoT platformen als Cryptojackers van lage kwaliteit
De waarde van cryptocurrency, zoals Bitcoin of Monero, fluctueert sterk, maar cyber criminelen willen nog steeds het geld hebben als ze het op jouw kosten kunnen krijgen. Daardoor hebben we een toename gezien in het aantal malware payloads dat het apparaat van het slachtoffer kaapt om energie te gebruiken – hoe weinig het ook mag zijn – om vervolgens langzaam cryptocurrency te “minen”. De industrie gebruikt de term “cryptojacking” steeds vaker als het gaat om het kapen van apparaten om cryptocurrency te “minen”. En we hebben een trend waargenomen waar cryptojacking niet-traditionele apparaten beïnvloedt zoals privé routers, netwerken en netwerkcamera’s of DVRs.
Mobiele telefoons zijn een grote zorgen, omdat cryptojacking de kwaliteit van de batterijen verminderd en de prestatie van de telefoon. Dit is een voorval dat een gebruiker van een telefoon wel opmerkt, maar vaak niet koppelt aan dit soort aanvallen.
Tot slot kunnen we zeggen dat er nog veel gevaren zijn in cyberland en dat we ook in 2019 ons hiervan bewust moeten zijn en maken. Voor een meer uitgebreide uitleg van de huidige threats, lees dan het Threat rapport.
Leave a Reply