Onderzoek Fortinet: bijna 60% van alle cyberbedreigingen deelt minimaal één domein

Utrecht – 29 mei 2019 – Fortinet® (NASDAQ: FTNT), wereldwijd leider in uitgebreide, geïntegreerde en geautomatiseerde oplossingen voor cyberbeveiliging, maakt de beschikbaarheid bekend van een nieuwe editie van zijn kwartaalpublicatie getiteld Global Threat Landscape Report. Uit de onderzoeksresultaten voor het eerste kwartaal van 2019 blijkt dat cybercriminelen steeds geavanceerder te werk gaan. Ze maken onder meer gebruik van gerichte aanvallen, op maat ontwikkelde ransomware, living-off-the-land (LoTL)-technieken en gedeelde infrastructuren om hun kans op succes te vergroten. Een gedetailleerde bespreking van de Threat Landscape Index en subindexen voor exploits, malware en botnets en belangrijke aanbevelingen voor CISO’s zijn te vinden in een speciaal blog van Fortinet.

De belangrijkste onderzoekbevindingen die in het rapport aan bod komen zijn:

Dataverkeer voor en na hacks: De onderzoekers van Fortinet analyseerden op welke dagen van de week verschillende aanvalsstadia plaatsvonden. Het bleek dat cybercriminelen altijd op zoek zijn naar het tijdstip dat hen optimale kansen biedt. Een vergelijking van het webfiltering-volume voor twee fasen in de killchain tijdens weekdagen en weekends wees uit dat activiteiten in aanloop naar hacks met ruwweg drie keer grotere waarschijnlijkheid tijdens werkdagen plaatsvinden. Wat de activiteit na hacks betreft is er sprake van minder verschillen tussen werkdagen en weekends.

De belangrijkste reden hiervoor is dat er voor misbruik van kwetsbaarheden vaak een bepaalde handeling van een gebruiker is benodigd, zoals het klikken op een link in een phishing-mail. Dergelijke acties zijn echter niet vereist voor de communicatie vanuit gehackte omgevingen met de command & control-server van cybercriminelen. Dit soort activiteit kan op elke dag van de week plaatsvinden.

Cybercriminelen hebben oog voor deze dynamiek en proberen om optimaal gebruik te maken van kansen tijdens werkdagen, waarop sprake is van intensief internetgebruik. Het maken van een onderscheid tussen werkdagen en weekends bij het filteren van het internetverkeer is daarom van groot belang om inzicht te verwerven in de killchain van uiteenlopende cyberaanvallen.

De meeste cyberbedreigingen delen infrastructuren: Een interessante trend is dat een aantal cybercriminelen in sterkere mate gebruikmaakt van gemeenschappelijke infrastructuren in plaats van een dedicated infrastructuur. Bijna 60% van alle cyberbedreigingen deelde minimaal één domein met andere bedreigingen. Dit wijst erop dat de meerderheid van alle botnets gebruikmaakt van een in de praktijk bewezen infrastructuur. IcedID is een goed voorbeeld van deze ‘waarom zou je het zelf ontwikkelen als je het kunt lenen’-aanpak.

Cyberbedreigingen die gebruikmaken van dezelfde infrastructuur doen dat vaak in hetzelfde stadium van de killchain. Het komt maar zelden voor dat een cyberbedreiging gebruikmaakt van een specifiek domein om misbruik te maken van kwetsbaarheden en datzelfde domein later gebruikt voor command & control-verkeer. Dit lijkt erop te wijzen dat de infrastructuur een bepaalde functie binnen aanvalscampagnes vervult. Organisaties die inzicht verwerven in welke cyberbedreigingen infrastructuren delen en tijdens welke fase in de aanvalsketen kunnen de verdere ontwikkeling van malware en botnets beter voorspellen.

Contentmanagement vraagt om continu beheer: Cybercriminelen hebben de neiging om in zwermen op zoek te gaan naar nieuwe kansen. Ze richten hun pijlen op eerder met succes misbruikte kwetsbaarheden binnen populaire nieuwe technologieën, zodat ze kansen snel en optimaal kunnen benutten. Internetplatforms die het eenvoudiger voor consumenten en bedrijven maken om een internetaanwezigheid op te bouwen zijn bijvoorbeeld een populair doelwit. Deze platforms worden te pas en onpas door cybercriminelen bestookt, zelfs via plug-ins van externe leveranciers. Hieruit blijkt eens temeer hoe belangrijk het is om direct nieuwe patches te installeren en inzicht te verwerven in de laatste ontwikkelingen rond exploits.

Ransomware is nog lang niet van het toneel verdwenen: Gerichte aanvallen lijken het stokje van ransomware-aanvallen te hebben overgenomen. Toch is ransomware absoluut nog niet van het toneel verdwenen. Uit diverse aanvallen blijkt dat aanvallers hun ransomware aanpassen om doelwitten met een hoge waarde te bestoken en speciale toegangsrechten tot hun netwerk te verkrijgen.

LockerGoga is een goed voorbeeld van ransomware die voor gerichte en meerfasige aanvallen wordt gebruikt. Qua geavanceerdheid onderscheidt LockerGoga zich nauwelijks van andere ransomware. Maar terwijl de meeste ransomware-varianten verdoezelingstechnieken inzetten om detectie te vermijden, blijkt uit een analyse dat LockerGoga nauwelijks van dit soort technieken gebruikmaakt. Dit doet vermoeden dat er gerichte aanvallen met de ransomware-variant worden uitgevoerd, en dat de makers ervan overtuigd zijn dat hun malware moeilijk te detecteren is.

Een andere vreemde eend in de bijt is Anatova. Zoals de meeste andere ransomware-varianten is het doel van Anatova om zoveel mogelijk bestanden op systemen van slachtoffers te versleutelen. Het enige verschil is dat de ransomware systematisch voorkomt dat bepaalde bestanden worden versleuteld als dat ten koste gaat van de stabiliteit van het besmette systeem. Anatova vermijdt ook computers als er tekenen zijn dat het om honeypots (lokservers) gaat die worden gebruikt voor het verzamelen en analyseren van malware.

Uit deze twee voorbeelden blijkt dat beveiligingsprofessionals hun focus moeten blijven richten op het installeren van patches en het maken van back-ups, zodat ze in ieder geval alle ‘huis-tuin-en-keuken’ ransomware kunnen afslaan. Gerichte bedreigingen vragen echter om meer maatwerk op beveiligingsgebied.

Living Off the Land-technieken zijn populair onder hackers: Cybercriminelen blijven ook als ze een netwerk zijn binnengedrongen hun aanvalstechnieken verder ontwikkelen. Daarmee kunnen ze maximaal effect sorteren. Voor dit doel doen ze steeds vaker een beroep op tools voor tweeledig gebruik of voeren ze aanvallen uit via malware-tools die reeds op de systemen van het doelwit zijn geïnstalleerd. Deze ‘living off the land (LoTL)’-tactiek stelt hackers in staat om hun kwaadaardige activiteiten in bonafide processen te verbergen om detectie te vermijden. LoLT-tools maken het bovendien moeilijker om aanvallen tot specifieke hackers te herleiden. Helaas kunnen cybercriminelen een beroep doen op een breed scala aan bonafide tools om aanvallen uit te voeren en zich in het volle zicht te verbergen. Beveiligingsprofessionals doen er dus goed aan om de toegang tot beheertools zoveel mogelijk in te perken en alle activiteit binnen de infrastructuur in logbestanden vast te laten leggen.

De noodzaak van een dynamische en proactieve inzet van bedreigingsinformatie

Organisaties kunnen zich pas effectief beschermen tegen geavanceerde bedreigingen en geautomatiseerde aanvallen als ze bedreigingsinformatie op dynamische en proactieve wijze inzetten binnen hun hele netwerk. Deze kennis maakt het mogelijk om trends in aanvallen op het digitale aanvalsoppervlak te signaleren en best practices voor de beveiliging op prioriteit in te delen op basis van de actuele doelwitten van cybercriminelen. Als bedreigingsinformatie niet in real time wordt toegepast op elke beveiligingsvoorziening, boet die informatie fors aan waarde in. Alleen een uitgebreide, geïntegreerde en geautomatiseerde security fabric biedt de snelheid en schaalbaarheid die nodig zijn om de complete infrastructuur veilig te houden, van het IoT tot de netwerkrand en van de kern van het netwerk tot alle cloud-omgevingen.

Phil Quade, chief information security officer bij Fortinet

“Onze onderzoeksbevindingen wijzen helaas uit dat cybercriminelen de strategieën en aanvalstechnieken van staatshackers kopiëren. Ze richten hun pijlen op dezelfde netwerken en nieuwe apparaten. Organisaties moeten hun beveiligingsstrategie herzien om die toekomstbestendiger te maken en cyberbedreigingen beter af te kunnen slaan. Dit vraagt om een meer wetenschappelijke benadering van cybersecurity en een effectieve toepassing van de basisprincipes op het gebied van beveiliging. Het omarmen van een security fabric-aanpak met micro- en macrosegmentatie en de inzet van automatisering en machine learning kan organisaties enorm helpen om cybercriminelen het nakijken te geven.”

Over het rapport en de Threat Landscape Index
Het Fortinet Threat Landscape Report is een kwartaalpublicatie die wereldwijde en regionale perspectieven biedt op het actuele bedreigingslandschap. Het vormt de neerslag van de informatie die FortiGuard Labs in het eerste kwartaal van 2019 verzamelde via het omvangrijke wereldwijde sensornetwerk van Fortinet. De Fortinet Threat Landscape Index (TLI) maakt deel uit van het rapport en brengt de aantallen, regelmaat en ontwikkelingen in kaart voor drie belangrijke en elkaar aanvullende aspecten van het bedreigingslandschap: exploits, malware en botnets.

Aanvullende informatie

• Lees het blog van Fortinet voor nadere informatie over dit onderzoek en een link naar het volledige Fortinet Threat Landscape Report.
• Raadpleeg de Fortinet Threat Landscape Index en subindexen voor informatie over de ontwikkelingen rond botnets, malware en exploits in het eerste kwartaal van 2019.
• Lees de wekelijkse Threat Briefs voor een gedetailleerdere analyseren van actuele bedreigingen en gebeurtenissen.
• Kom meer te weten over FortiGuard Labs en de FortiGuard Security Services.
• Lees meer over de FortiGuard Security Rating Service, die in beveiligingsaudits en best practices voorziet.
• Kom te weten hoe de Security Fabric van Fortinet organisaties uitgebreide, geïntegreerde en geautomatiseerde bescherming biedt voor hun complete digitale aanvalsoppervlak, van het IoT tot de netwerkrand en van de kern van het netwerk tot alle cloud-omgevingen.
• Lees meer over het Network Security Expert-programma, Network Security Academy-programma en het FortiVets-programma van Fortinet.
• Volg Fortinet op Twitter, LinkedIn, Facebook, YouTube en Instagram.

Over Fortinet

Fortinet (NASDAQ: FTNT) beschermt ’s werelds grootste ondernemingen, internetproviders en overheidsorganisaties. Het biedt organisaties intelligente, naadloze bescherming van hun groeiende aanvalsoppervlak en stelt hen in staat om tegemoet te komen aan de steeds hogere eisen die aan hun grenzeloze netwerk worden gesteld, nu en in de toekomst. Alleen de Fortinet Security Fabric-architectuur is in staat om compromisloze beveiliging te bieden als oplossing voor de meest prangende uitdagingen op beveiligingsgebied, of het nu gaat om mobiele, netwerk-, applicatie- of cloudomgevingen. Fortinet heeft wereldwijd de meeste beveiligingsappliances verkocht. Meer dan 400,000  klanten vertrouwen op Fortinet voor effectieve bescherming van hun organisatie. Kom meer te weten op http://www.fortinet.com, het blog van Fortinet en FortiGuard Labs.