Rusland blijft belangrijkste bron van aanvalsverkeer

Vorig jaar wijdde F-Secure een blog aan het wereldwijde netwerk van honeypot-sensoren van het bedrijf. Met dit netwerk onderzoekt F-Secure het bedreigingslandschap op de laatste ontwikkelingen. Het bedrijf publiceert honeypot-data sinds de eerste helft van 2017. Nu de bevindingen voor het tweede halfjaar.

Honeypots
Honeypots zijn lokservers die worden gebruikt om de aandacht van cybercriminelen te trekken. We doen het lijken alsof ze informatie bevatten die voor hen interessant zijn. Maar in werkelijkheid bewaken we deze servers, zodat we belangrijke informatie kunnen verzamelen over het aanvalsverkeer dat ze aantrekken.

Onze data voor de tweede helft van 2017 vertoont geen noemenswaardige verschillen met de gegevens voor het eerste halfjaar. Rusland is nog altijd de belangrijkste bron van aanvalsverkeer. Ook Duitsland, de Verenigde Staten en China zijn prominente bronnen, maar blijven ver achter bij Rusland.

Dit keer haalde Frankrijk verrassend genoeg de tweede plaats. Volgens onze bedreigingsanalyse is dit waarschijnlijk te wijten aan hacks van Franse IoT-apparaten in een poging om malware te verspreiden. In juli was er sprake van een aanvalscampagne op poort 1900 (SSDP/UPnP). Dit wijst erop dat het doel was om misbruik te maken van kwetsbaarheden in Franse IoT- en plug & play-apparaten.

De Verenigde Staten prijkte zoals gewoonlijk bovenaan de lijst van populaire doelwitten. Duitsland kwam opnieuw op de tweede plaats. Dit was te wijten aan een piek in activiteiten op poort 445 die verband hielden met het Server Message Block (SMB)-protocol.

Dit keer haalde Frankrijk verrassend genoeg de tweede plaats. Volgens onze bedreigingsanalyse is dit waarschijnlijk te wijten aan hacks van Franse IoT-apparaten in een poging om malware te verspreiden. In juli was er sprake van een aanvalscampagne op poort 1900 (SSDP/UPnP). Dit wijst erop dat het doel was om misbruik te maken van kwetsbaarheden in Franse IoT- en plug & play-apparaten.

De Verenigde Staten prijkte zoals gewoonlijk bovenaan de lijst van populaire doelwitten. Duitsland kwam opnieuw op de tweede plaats. Dit was te wijten aan een piek in activiteiten op poort 445 die verband hielden met het Server Message Block (SMB)-protocol.

Wat het scannen van poorten betreft was poort nummer 22 (SSH) het populairst. Poort 1900 kwam op de tweede plaats. Hieruit blijkt dat cybercriminelen nodig altijd hun vizier richten op IoT-apparatuur in Frankrijk. SMB-poort 445 was een goede derde. Dit geeft aan dat cybercriminelen nog altijd misbruik maken van de Eternal-exploits die bij de NSA werden gelekt.

Als we kijken naar onze "Wie heeft het op wie gemunt”-lijst, is de belangrijkste aanvaller-doelwitrelatie geen verrassing.
Honeypot-data biedt ons inzicht in globale patronen en trends. Maar hoe zit het nu precies met specifieke aanvallen op organisaties? Eén ding dat we met zekerheid kunnen zeggen, is dat bestandsloze aanvallen in opmars zijn.
Volgens een prognose van het Ponemon Institute zal 35% van alle cyberaanvallen in 2018 bestandsloos zijn. Dit vertegenwoordigt een stijging van 6% ten opzichte van de prognose voor 2017. Het onderzoeksinstituut voegt hieraan toe dat bestandsloze aanvallen een tien keer grotere kans van slagen hebben dan traditionele aanvallen die gebruikmaken van bestanden.

Volgens een onderzoek door SANS krijgt 32% van alle organisaties te maken met bestandsloze aanvallen. Hierbij is onder meer sprake van het verhogen van toegangsrechten, diefstal van aanmeldingsgegevens van beheerders, misbruik van Powershell-scripts en voorbereidende netwerkverkenningen. Dit zijn slechts een paar voorbeelden van wat er zoal wordt gedetecteerd. Maar gezien het feit dat bestandsloze aanvallen een veel grotere kans van slagen maken, is de vraag wat er allemaal niet onopgemerkt blijft.