Cyberdreigingen in 2018: een blik op het eerste half jaar

De tweede helft van het jaar is aangebroken en dat is voor RedSocks Security het moment om eens terug te blikken op het eerste half jaar van 2018. Wat is er uitgekomen van de voorspellingen die eind 2017 werden gedaan? Aan de hand van eigen data kijken we terug om de belangrijkste cyberdreigingen vast te stellen die werden gedetecteerd door onze Malicious Threat Detection en eigen labs.

Nog geen grote aanval maar veel overtredingen

Het jaar 2017 werd gekenmerkt door grote aanvallen zoals Wannacry en NotPetya. In de zomer van 2018 heeft nog geen enkele wereldwijde aanval van dit formaat het nieuws gehaald. Toch zijn er veel inbreuken gepleegd, waarbij gevoelige bestanden werden gelekt en bedrijven veel geld kwijt waren. Sommige inbreuken vonden zelfs plaats onder de huidige GDPR.

De aantrekkingskracht van cryptocurrencies

Doordat de cryptocurrencies eind 2017 enorm in waarde stegen, was een toename in criminele activiteiten te verwachten. Het aantal lijkt een piek te hebben bereikt in het eerste kwartaal van 2018 en de aantrekkingskracht is nog altijd groot. In de rest van het jaar zullen naar verwachting crypto-aanvallen plaatsvinden in de volgende vormen:

– Ransomware die cryptocurrencies als betaalmiddel vraagt
– Crypto-jack, het binnensluipen in iemands apparaten door middel van mining malware om vervolgens cryptocurrencies te minen.
– Diefstal
– Phishing: de phishinglabs van RedSocks Security onderzochten dit jaar meerdere zaken waarbij cryptomerken werden misbruikt, bijvoorbeeld door middel van weggeefacties en het promoten van nep air drops.

Meer onconventionele bedreigingen

Er zijn smart malware-programma’s die automatisch een actie kiezen op basis van de omgeving waarin ze zijn geïnstalleerd. Bijvoorbeeld: een variant van Rakhni ransomware kan zelf beslissen of op een bepaald moment het delven van cryptovaluta of het versleutelen van bestanden en losgeld eisen het meest rendabel is.

Een andere variant van niet-traditionele malware is zogeheten ‘bestandloze malware’. Dit is malware die rechtstreeks vanuit het geheugen van de computer werkt met behulp van Windows-tools zoals Powershell. Deze malware wordt geïnstalleerd op elk apparaat en wordt nog niet door antivirussoftware gedetecteerd. Een andere manier is het gebruik van .iqy-bestanden met name in spam. Nadat een gebruiker de link opent, worden bestanden automatisch geopend en ingezet om gegevens van het internet te downloaden. Hiermee kunnen trojans met externe toegang worden geïnstalleerd.

Tenslotte zien we een opkomst van programma’s die gebruikmaken van legale omgevingen, zoals Cloud Storage Services en social media. Het toont gelijkenissen met de bestandloze malware die Windows-tools gebruiken.

Trickbot

Een trickbot is een trojan die zich richt op klanten van financiële bedrijven. Deze malware is bekend om de regelmatige updates, waardoor ze vaak één stap voorlopen op de beveiligingsmaatregelen van financiële partijen. Deze trojan gebruikt met name phishing-campagnes en EternalBlue-kwetsbaarheden voor infecties. De nieuwste variant, die in 2018 werd ontdekt, installeert automatisch TeamViewer en vergrendelt het apparaat van de gebruiker.

De bende achter de Trickbot malware heeft veel kennis over hun targets en heeft dit ingezet voor een interessant bedrijfsmodel. Sinds eind 2017 zijn ze ook betrokken bij cryptodiefstallen.

Kwaadwillende delivery-campagnes

Grote kwaadaardige delivery-campagnes zijn sinds de eerste helft van 2018 actief, voorbeelden hiervan zijn de Keitaro en de EITest malware. EITest werkt via oplichting: de gebruiker wordt omgeleid naar een nep-supportpagina waarna de browser wordt geblokkeerd. De gebruiker krijgt dan de melding om contact op nemen met de kwaadwillende organisatie om het op te lossen.

Social engineering: phishing, spear-phishing, scareware en false flag-operaties

Het is geen nieuws dat cyberaanvallen technische en sociale operaties zijn, maar de dreiging lijkt alleen maar verder te groeien door het gebruik van social media. Veelvoorkomende aanvallen, zoals CEO-fraude, phishing, spear-phishing en prank calling lijken niet te verminderen, terwijl sommige campagnes al vanaf 2016 bezig zijn met het kopiëren van processen.

Naast deze gebruikelijke trends is er een stijging in scareware en false flag-operaties. Scareware is een malware om gebruikers te misleiden tot het kopen of downloaden van schadelijke programma’s. Sommige scareware kan het slachtoffer wijzen op de aanwezigheid van een virus op zijn apparaat, anderen zijn gericht op het afpersen met de bedreiging dat ze informatie over het slachtoffer hebben. False flag-operaties zijn aanvallen die zijn ontworpen om zich voor te doen alsof ze zijn uitgevoerd door een andere specifieke partij. Dit type misleiding wordt vaak gebruikt door statelijke actoren.

Ransomware-as-service en eigen botnets

In de hackers community is cybercriminaliteit-as-a-service enorm in trek, in het bijzonder ransomware en financiële malware. Zeker financiële malware is steeds toegankelijker geworden voor Script Kiddies. Naar verwachting nemen deze acties in de nabije toekomst alleen maar toe. Hackers creëren ook steeds vaker hun eigen geavanceerde bots, die geen spoor achterlaten.

Targets in 2018

Populaire doelwitten van cyber criminelen in de afgelopen maanden waren energiemaatschappijen, ziekenhuizen die in het verleden losgeld betaalden, politieke partijen, schakels in de supply chain en gebruikers van IoT-apparaten. Zeker bij IoT-apparaten lopen veiligheidsmaatregelen vaak nog mijlenver achter.

Dit is een ingezonden bijdrage van Béatrice Cadet, Threat Analyst bij RedSocks Security. Via deze link vind je meer informatie over de oplossingen van het bedrijf.