Herkenbaarheid malware holt in 2017 achteruit

De voorspellingen worden jaarlijks opgesteld en zijn gebaseerd op brede inzichten en expertise. De lijst van 2017 omvat onder andere het effect van op maat gemaakte wegwerp-tools, het toenemende gebruik van misleiding over de identiteit van aanvallers, de kwetsbaarheid van een lukraak met internet verbonden wereld en het gebruik van cyberaanvallen als wapen in de informatieoorlog.

Het einde van IOC’s
Indicators of Compromise (IOC’s) zijn lange tijd een uitstekende manier geweest om de eigenschappen van bekende malware met verdedigers te delen, zodat zij een ??actieve infectie kunnen herkennen. De ontdekking van de ProjectSauron APT door Kaspersky’s GReAT heeft dit veranderd. Analyse van de groep bracht een op maat gemaakt malwareplatform aan het licht waarbij alle functies werden aangepast aan elk slachtoffer. Dit maakte IOC’s onbetrouwbaar wat betreft het detecteren van andere slachtoffers, tenzij dit vergezeld ging van een andere maatregel, zoals sterke Yara-regels.

De opkomst van ‘oppervlakkige’ infecties
In 2017 verwacht Kaspersky Lab ook het verschijnen van in het geheugen genestelde malware die geen belang heeft bij overleving na de eerste reboot, waarmee de infectie wordt verwijderd uit het geheugen van de machine. Dergelijke malware, bedoeld voor algemene verkenningsdoeleinden en het verzamelen van toegangsgegevens, zal waarschijnlijk in zeer kwetsbare omgevingen worden ingezet door heimelijke aanvallers die erop uit zijn om geen argwaan te wekken of ontdekt te worden.

“Dit zijn zorgelijke ontwikkelingen omdat het voor veel partijen nu een stuk moeilijker wordt om aanvallen binnen het netwerk en op de computers te detecteren. Daarom voegen wij en andere onderzoekers YARA-regels toe aan de IOCs. Hiermee kunnen partijen hun pc’s scannen op de aanwezigheid van malware op de lokale schijven en in het werkgeheugen. Daarnaast is de noodzaak nu nog groter geworden om geavanceerde antimalware-oplossingen te gebruiken die gedrag monitoren”, aldus Jornt van der Wiel, Security Researcher bij het Global Research and Analysis Team.

Andere top dreigingsvoorspellingen voor 2017

• Toeschrijving zal falen vanwege ‘false flags’: Nu cyberaanvallen een grotere rol gaan spelen in internationale betrekkingen, zal de toeschrijving ervan een centraal thema worden bij het bepalen van de juiste politieke actie. Het nastreven van toeschrijving zou kunnen leiden tot het risico dat meer criminelen infrastructuur- of eigen tools op de open markt gooien, of kiezen voor open-source en commerciële malware, om nog maar te zwijgen over het wijdverbreide gebruik van misleiding (algemeen bekend als valse vlaggen) om toeschrijving te verdoezelen.
• De opkomst van informatieoorlogsvoering: In 2016 begon de wereld het delen van gehackte informatie voor specifieke doeleinden serieus te nemen. Dergelijke aanvallen zullen waarschijnlijk toenemen in 2017. Ook bestaat de kans dat aanvallers misbruik zullen proberen te maken van de bereidheid van mensen om dergelijke data als feit te accepteren, door het manipuleren of selectief openbaar maken van informatie.
• ‘Vigilante hackers’: Verder verwacht Kaspersky Lab een stijging te zien van het aantal zogenaamde ‘burgerwacht hackers’ die data, naar eigen zeggen, hacken en dumpen voor een hoger doel.
• Groeiende kwetsbaarheid voor cybersabotage: Kritieke infrastructuren en productiesystemen zijn tegenwoordig blijvend verbonden met internet, vaak met weinig of geen bescherming. Daardoor kan de verleiding om ze te beschadigen of te verstoren groot blijken te zijn voor cyberaanvallers, vooral degene met geavanceerde vaardigheden en in tijden van stijgende geopolitieke spanningen.
• Spionage gaat mobiel: Kaspersky Lab verwacht meer spionagecampagnes die zich hoofdzakelijk richten op mobiele apparaten en profiteren van het feit dat de beveiligingsindustrie moeite kan hebben om voor hun forensische analyses volledige toegang te krijgen tot mobiele besturingssystemen.
• De ‘commodificatie’ van financiële aanvallen: Kaspersky Lab verwacht de ‘commodificatie’ van aanvallen, in de trant van de 2016 SWIFT overvallen in 2016 – waarbij gespecialiseerde middelen te koop worden aangeboden in ondergrondse forums of via ‘as-a-service’ regelingen.
• Inbreuk op betaalsystemen: Nu betaalsystemen steeds populairder en gebruikelijker worden, verwacht Kaspersky Lab dat dit gepaard gaat met toenemende criminele belangstelling.
• De ineenstorting van ‘vertrouwen’ in ransomware: Kaspersky Lab verwacht ook een voortdurende toename van ransomware, maar met afbreuk aan de onwaarschijnlijke vertrouwensrelatie tussen slachtoffer en aanvaller (gebaseerd op de veronderstelling dat betaling zal leiden tot het retourneren van de data). Dit wordt veroorzaakt door het toetreden van een lagere klasse van criminelen en kan het keerpunt zijn wat betreft de bereidheid van slachtoffers om te betalen.
• Kwetsbare IoT-apparaten in een overvol internet: Terwijl fabrikanten van IoT-apparaten onbeveiligde apparaten blijven produceren die grootschalige problemen kunnen veroorzaken, bestaat het risico dat vigilante hackers het heft in eigen handen gaan nemen door zoveel mogelijk apparaten uit te schakelen.
• De criminele aantrekkingskracht van digitale reclame: Volgend jaar zullen we een toename zien in het gebruik van (normaal voor reclamedoeleinden ingezette) tracking- en targeting-tools om toezicht te houden op vermeende activisten en dissidenten. Op vergelijkbare wijze zullen reclamenetwerken – die uitstekende doelwit profileringsmogelijkheden bieden via een combinatie van IP-adressen, browser-vingerafdrukken, browse-interesses en inlog-selectiviteit – ook worden gebruikt door geavanceerde cyberspionage-actoren die hun doelwitten graag met uiterste precisie willen treffen en tegelijk kun nieuwste toolkits willen beschermen.

De volledige tekst van het rapport “Kaspersky Lab Threat Predictions for 2017” is beschikbaar op Securelist.

Om terug te zien wat de deskundigen van Kaspersky Lab verwachtten voor 2016, zie hier.