De paradox van cyberbedreigingen

Naarmate omgevingen steeds meer met elkaar verweven raken, worden bedreigingen steeds complexer. De belangrijkste beveiligingsproblemen in het afgelopen jaar maken dit wel duidelijk en hun repercussies benadrukken het belang van de implementatie van slimme beveiligingstechnieken.

In het afgelopen jaar zagen we dat enorme uitbraken van ransomware wereldwijd gevolgen hadden en resulteerden in miljarden dollars schade voor bedrijven. Ook waren we getuige dat bekende bedreigingen zoals BEC (Business Email Compromise) een continu risico vormden voor het bedrijfsleven. In de tussentijd werd het landschap met bedreigingen volledig omgewoeld door volatiele cryptovaluta's die heel snel in waarde toenamen. Om in deze omgeving te functioneren, werden oude technieken door cybercriminelen omgebouwd om deze cryptotrends optimaal te benutten. Ook bekende kwetsbaarheden werden op allerlei nieuwe manieren uitgebuit.




Ransomware zorgt voor grotere uitbraken wereldwijd, ook al zijn er minder grote spelers bij betrokken


Ransomware zorgt voor grotere uitbraken wereldwijd, ook al zijn er minder grote spelers bij betrokken

Het aantal nieuwe soorten ransomware steeg met 32 procent vergeleken met 2016, tot een totaal van 327. Dit toont dat er nog steeds actieve ransomware-ontwerpers waren die voordeel wilden halen uit een afzwakkende trend. De ransomware-gerelateerde bedreiging die door de Trend Micro™ Smart Protection Network™-beveiligingsinfrastructuur werd vastgesteld, toonde echter een tegengestelde richting en daalde met 41 procent. Schijnbaar was slechts een klein aantal nieuwe soorten verantwoordelijk voor reële bedreigingen in 2017.



2016
2017
Meer soorten ransomware in 2017: Vergelijking van totaal aantal nieuwe soorten ransomware
247
Nieuwe soorten in 2016
327
Nieuwe soorten in 2017



2016
2017
Kleiner aantal grote spelers, ondanks de toename in nieuwe soorten ransomware: Vergelijking van totaal aantal ontdekte ransomware-gerelateerde bedreigingen
1,078,091,703
Ransomware-gerelateerde bedreigingen in 2016
631,128,278
Ransomware-gerelateerde bedreigingen in 2017

Maar de ransomware-gebeurtenissen die van invloed waren op gebruikers waren significant groter. Deze wijdverbreide aanvallen sloegen toe in meerdere landen en resulteerden in een totale schade van miljarden dollars. Naast de twee beruchte spelers WannaCry en Petya, was er recentelijk ook sprake van Bad Rabbit: Deze ransomware sloeg in oktober 2017 toe bij een aantal bedrijven in Rusland, Oost-Europa en de V.S.

Dit is een uitgesproken verschil met 2016, toen er meer ransomware-incidenten werden gerapporteerd, maar waarbij de schade typisch beperkt bleef tot lokale bedrijven en het gevraagde losgeld slecht enkele tienduizenden dollars bedroeg.

Belangrijkste soorten ransomware: Belangrijkste soorten ransomware in 2017, overgebleven uit 2016

Ransomware blijft een duidelijke en continue bedreiging omdat veel gebruikers wereldwijd nog te maken hebben met bestaande soorten. In de tussentijd tonen de recentere virulente uitbraken aan dat de nieuwe soorten ransomware steeds verfijnder worden en grotere doelwitten raken. Ontwikkelaars zijn continu bezig met experimenteren en het vinden van winstgevende strategieën. In 2017 werden diverse nieuwe methoden gebruikt, met een grotere toepassing van bestandsloze infectie en evasietechnieken voorafgaand aan de uitvoering, op basis van machine learning. Ook bleven oude kwetsbaarheden een geliefd doelwit.

Effectieve ransomware maakt meestal misbruik van bekende exploits en technieken. Daarom moeten bedrijven waakzaam blijven en het juiste patchbeleid implementeren. Ook moeten de bedrijfssystemen zijn beveiligd met meerlaagse oplossingen.


Aanpasbare bedreigingen exploiteren bekende kwetsbaarheden op een aantal nieuwe manieren


Aanpasbare bedreigingen exploiteren bekende kwetsbaarheden op een aantal nieuwe manieren

Een aantal kritieke en controversiële kwetsbaarheden werden geëxploiteerd door cybercriminelen en gebruikt voor grootschalige ransomware-campagnes. Hierbij ging het onder meer, opmerkelijk genoeg, om bekende kwetsbaarheden die al eerder werden benut door de EternalBlue- en EternalRomance-exploits. De eerstgenoemde werd toegepast in de uitbraken van WannaCry en Petya, en de laatstgenoemde werd ook gebruikt door Petya, en later door Bad Rabbit.

Bekende kwetsbaarheden werden bovendien geëxploiteerd voor andere doeleinden dan alleen het verspreiden van ransomware. EternalBlue werd ook gebruikt door cryptominer-malware om zich bestandsloos te verspreiden. En de Linux-kwetsbaarheid Dirty COW werd gebruikt door ZNIU om in te breken op bepaalde Android-apparaten.


ZERO-DAY-KWETSBAARHEDEN
ZERO-DAY-KWETSBAARHEDEN (SCADA)
2016
60
2017
119
2016
46
2017
113


Een duidelijke toename in zero-day-kwetsbaarheden: Vergelijking van het aantal zero-day-kwetsbaarheden en SCADA-gerelateerde zero-day-kwetsbaarheden tussen 2016 en 2017

In 2017 nam het aantal ontdekte zero-day-kwetsbaarheden toe met niet minder dan 98 procent. Bovendien waren er van de 119 zero-day-kwetsbaarheden slechts zes niet gerelateerd aan SCADA (Supervisory Control And Data Acquisition). Deze sterkere focus op SCADA is bijzonder significant, aangezien de grote industriële complexen en kritieke infrastructuren voor hun correct functioneren volledig vertrouwen op deze controlesysteemarchitectuur. Als zero-day-kwetsbaarheden worden geëxploiteerd, kan dat tot enorme verliezen en schade leiden.


Ondanks de grotere bekendheid van de bedreiging door BEC-scams, neemt hun aantal nog steeds toe


Ondanks de grotere bekendheid van de bedreiging door BEC-scams, neemt hun aantal nog steeds toe

In eerdere gevallen is duidelijk gebleken welk risico BEC-scams inhouden voor alle typen bedrijven, van grote multinationals tot kleine bedrijven. Maar ondanks dit toenemende besef blijven BEC-scams ook in 2017 actief en neemt hun aantal zelfs toe. In december nog was er één incident dat een Japans transportbedrijf een gerapporteerde schade van US$ 3,4 miljoen opleverde. Die specifieke scam was gebaseerd op een populaire techniek die ook wel de leverancierszwendel wordt genoemd: zichzelf voordoen als een onafhankelijke leverancier en ervoor zorgen dat het bedrijf geldbedragen overmaakt. In een ander incident uit juli ontving een aantal organisaties in Duitsland valse memo's van “bestuurders” waarin het boekhoudpersoneel werd verzocht om geld over te maken naar frauduleuze accounts.

Onze gegevens tonen een scherpe stijging in dergelijke pogingen van ongeveer 106 procent, van de eerste helft van 2017 naar de tweede helft. Consistent met voorgaande jaren was de functie van het doelwit, namelijk financiële functies: De CFO (Chief Financial Officer), financieel beheerder, financieel manager en financieel leidinggevenden. Het topmanagement werd hierbij het vaakst misbruikt: Chief Executive Officer (CEO), directeur en president.

Vastgelegd aantal BEC-pogingen in 2017

1e helft
3175
2e helft
6533

Het aantal BEC-pogingen is verdubbeld in de tweede helft van het jaar ten opzichte van de eerste helft: Vergelijking van het aantal BEC-pogingen tussen de 1e en 2e helft van 2017


De astronomische stijging van cryptovaluta's vormt een inspiratiebron voor nieuwe miningmalware en andere bedreigingen


De astronomische stijging van cryptovaluta's vormt een inspiratiebron voor nieuwe miningmalware en andere bedreigingen

De waarde van cryptovaluta en met name de bitcoin, steeg explosief in de laatste zes maanden van 2017. Begin juli kostte 1 bitcoin ongeveer US$ 2.500 en op 31 december meer dan US$ 13.800. Die enorme en snelle toename was voor cybercriminelen blijkbaar een aansporing om cryptovaluta op allerlei verschillende methoden aan te vallen. Sommigen gebruikten social engineering-aanvallen om rechtstreeks wallets met cryptovaluta aan te vallen, terwijl anderen hetzelfde probeerden te bereiken door bestaande ransomware-bedreigingen verder te ontwikkelen. Er waren zelfs pogingen om cryptovaluta te minen door middel van mobiele malware, ook al was de kans op het verkrijgen van een groot geldbedrag via die methode erg klein.

Sommige bedrijven wilden profiteren van de cryptovaluta door miningsoftware toe te passen als alternatief voor webadvertenties, maar ook hier zagen cybercriminelen snel hun kans. In het midden van 2017 begon de aanval op Coinhive, de meest populaire tool voor mining op basis van open source. In november stond een schadelijke variant van de Coinhive-tool op de zesde plaats van de meest algemene malware ter wereld, ook al was de tool oorspronkelijk bedoeld als een legitieme alternatieve verdienmethode voor websites.

Deze bedreigingen zijn uiterst relevant omdat steeds meer bedrijven cryptovaluta gaan gebruiken en zelfs hun eigen cryptovaluta willen uitbrengen; ook regeringen, waaronder die van Venezuela en Dubai in de Verenigde Arabische Emiraten, hebben plannen voor een eigen cryptovaluta. Beveiligingsoplossingen met hoogwaardige machine learning, webreputatieservices, gedragsbewaking en applicatiebeheer kunnen de impact van deze bedreigingen verkleinen.

Dreigingslandschap

In 2017 heeft de Trend Micro™ Smart Protection Network™-beveiligingsinfrastructuur meer dan 66 miljard bedreigingen geblokkeerd. Meer dan 85 procent van deze bedreigingen bestond uit e-mails met kwaadaardige inhoud. E-mails waren altijd al de meest populaire sleutel voor cybercriminelen voor toegang tot gebruikers.

Dreigingslandschap

In 2017 heeft de Trend Micro™ Smart Protection Network™-beveiligingsinfrastructuur meer dan 66 miljard bedreigingen geblokkeerd. Meer dan 85 procent van deze bedreigingen bestond uit e-mails met kwaadaardige inhoud. E-mails waren altijd al de meest populaire sleutel voor cybercriminelen voor toegang tot gebruikers.

Algemene geblokkeerde bedreigingen

66436980714


1e helft 2016
28,658,837,969
1e helft 2017
38,451,584,224
2e helft 2016
53,226,272,934
2e helft 2017
27,985,396,490


In 2017 minder geblokkeerde bedreigingen dan in 2016: Totaal aantal geblokkeerd door de Trend Micro Smart Protection Network-infrastructuur, 2016 vs. 2017

Ter vergelijking: in 2016 werden meer dan 81 miljard bedreigingen geblokkeerd. Wij menen dat de afname van het aantal dreigingen kan worden toegeschreven aan een verschuiving van lukrake “spray and pray”-methoden naar een meer doelgerichte aanpak.


Een variatie in de richting van het aantal kwetsbaarheden: Vergelijking van het aantal gevonden kwetsbaarheden per leverancier tussen 2016 en 2017


Gebeurtenis Aantal gebeurtenissen
Mining van cryptovaluta 45,630,097
Standaard-TELNET-wachtwoordaanmelding 30,116,181
MS17-010 SMB 12,125,935
'Bruut geweld'-aanmelding 3,714,051
ICMP BlackNurse 1,792,854
Andere 16,701,211

Mining van cryptovaluta en TELNET-gebeurtenissen staan bovenaan: Netwerkgebeurtenissen in 2017 gebaseerd op gegevens van de Trend Micro™ Smart Home Network-oplossing


Jaar Ontdekte/vrijgegeven gegevensinbreuk Getroffen records
2016 813 3,310,435,941
2017 553 4,923,053,245

Minder ontdekt/vrijgegeven, meer records getroffen: Vergelijking van het aantal gevallen van gegevensinbreuk die zijn ontdekt/vrijgegeven en het aantal getroffen records tussen 2016 en 2017

* Opmerking: De inbreuk op de gegevens van Yahoo die werd gerapporteerd in oktober 2017 verrekend in het aantal getroffen records voor 2017. De aantallen zijn berekend op basis van gegevens van Privacy Rights Clearinghouse.

Andere significante beveiligingskwesties van 2017 zijn opgenomen in ons overzicht, waar u ook details vindt over de manier waarop cybercriminelen misbruik maken van apparaten die onderdeel zijn van een IoT-netwerk (Internet-of-Things) en hoe grote bedrijven het slachtoffer werden van enorme gegevensinbreuken. Lees ons jaarlijkse beveiligingsoverzichtrapport voor meer informatie over de nieuwste ontwikkelingen binnen het dreigingslandschap en ontdek welke strategieën u kunt implementeren om u te beschermen tegen bestaande en nieuwe dreigingen.

DOWNLOAD HET VOLLEDIGE RAPPORT (PDF/Eng.)