Wouter Hoeffnagel - 28 december 2019

Proofpoint: Gedrag van digitale oplichters is in 2019 significant veranderd

2019 is gekenmerkt door een massale distributie van Remote Access Trojan (RAT)- en downloader-malware. Ook was er sprake van een significant veranderd gedrag van oplichters en steeds geavanceerdere aanvallen op cloud-toepassingen. Samen met een aantal andere trends schetsen deze een beeld van wat ons in 2020 te verwachten staat.

Dit blijkt uit een terugblik van Proofpoint op de security-trends van 2019. Het bedrijf blikt ook vooruit op 2020. Zo zullen cybercriminelen met name e-mail blijven gebruiken om aanvallen uit te voeren. E-mail is namelijk bij uitstek geschikt voor geloofwaardige phishing-campagnes, gerichte malware-aanvallen om organisaties binnen te komen, en voor de grootschalige verspreiding van banking trojans, downloaders, backdoors en nog veel meer. Cloud-gebaseerde e-mailsystemen zoals Microsoft Office 365 en GSuite worden echter zelf ook belangrijke doelwitten voor cybercriminelen. Zij bieden platformen voor toekomstige aanvallen en verdere verspreiding binnen getroffen organisaties.

Ransomware

Hoewel ransomware nauwelijks voorkwam in schadelijke e-mails bleef het in 2019 de krantenkoppen halen, vooral bij de jacht op de 'grote' aanvallen. Proofpoint verwacht dat dit soort aanvallen zich in 2020 zal voortzetten. Hierbij richten cybercriminelen hun aanvallen op servers en toestellen in bedrijfskritische omgevingen waarbij de kans het grootst is dat slachtoffers betalen voor het decoderen van hun bestanden. Dit soort aanvallen is echter over het algemeen minder ernstig dan de initiële aanvallen met RAT's, downloaders en banking trojans. Daarom is preventie van de initiële aanvallen cruciaal voor organisaties en security-teams. In 2020 zullen organisaties steeds vaker ervaren dat als ze eenmaal slachtoffer zijn van ransomware, ze al zijn blootgesteld aan verschillende vormen malware. Deze kan potentiële toekomstige kwetsbaarheden creëeren en gegevens of intellectueel eigendom blootleggen.

Complexe malware-infecties

In 2019 werden URL's vaker gebruikt dan schadelijke bijlagen om malware te verspreiden. De meeste gebruikers zijn geconditioneerd om bijlagen van onbekende afzenders te vermijden. De populariteit van cloud-toepassingen en -opslag betekent echter dat iedereen gewend is op links te klikken om inhoud te bekijken, te delen en er mee te werken. Cybercriminelen zullen hier in 2020 op blijven inspelen. Dit komt enerzijds door de effectiviteit van social engineering en anderzijds omdat URL's kunnen worden gebruikt om de detectie van steeds complexere malware-infecties te verbergen. URL's waren in het verleden vaak gekoppeld aan een uitvoerbaar bestand waarmee een schadelijk document werd geopend. In 2020 zal het gebruik van verkorte URL's, systemen voor de distributie van internetverkeer en andere middelen toenemen om schadelijke inhoud te verbergen voor security-teams en geautomatiseerde systemen.

Tegelijkertijd worden campagnes steeds complexer en zal social engineering worden verbeterd om gebruikers te verleiden malware te installeren. Cybercriminelen zullen Business Email Compromise (BEC)-tactieken toepassen in malware- en phishing-campagnes. Hiervoor bouwen ze eerst een relatie op met een slachtoffer via meerdere contactpunten, zoals LinkedIn, gesprekken op sociale media en meerdere onschuldig lijkende e-mails, voordat ze schadelijke inhoud versturen. Op dezelfde manier zal modulaire malware, die is ontworpen om extra mogelijkheden of secundaire malware te downloaden, de trend voortzetten van 'stille infecties' waar cybercriminelen op een later tijdstip gebruik van kunnen maken.

Misbruik van legitieme diensten

In dezelfde lijn zullen cybercriminelen steeds vaker misbruik maken van legitieme diensten voor het hosten en verspreiden van kwaadaardige e-mailcampagnes, malware en phishing-kits. Hoewel het gebruik van Microsoft SharePoint-links voor het hosten van malware al enige tijd gebruikelijk is, zien we nu dat het ook wordt gebruikt voor interne phishing. Een gecompromitteerd Office 365-account kan bijvoorbeeld worden gebruikt om een interne phishing-e-mail te versturen naar een phishing-kit die op SharePoint wordt gehost via een ander account. Zo worden slachtoffers nooit doorgestuurd naar een externe phishing-site en lijken e-mails te komen van legitieme mensen binnen de organisatie. Dit type aanval vereist slechts een paar gecompromitteerde accounts en is moeilijk te detecteren, zowel voor eindgebruikers als voor veel geautomatiseerde beveiligingssystemen. Proofpoint verwacht dat deze techniek in 2020 vaker zal voorkomen vanwege haar effectiviteit.

Op dezelfde manier zal het grootschalige misbruik van andere legitieme cloud-gebaseerde hosting-diensten voor de levering van malware voortduren. Hierbij profiteren cybercriminelen ervan dat iedereen gewend is op links te klikken en dat de meeste organisaties diensten zoals Dropbox en Box niet op de zwarte lijst kunnen zetten.

Tot slot wijst Proofpoint erop dat veel waargenomen malvertising samenhangt met het traffic distribution system (TDS) van Keitaro. Keitaro is een legitieme dienst met diverse toepassingen, voornamelijk internetreclame, maar wordt vaak misbruikt door cybercriminelen die slachtoffers naar specifieke schadelijke inhoud willen leiden op basis van hun locatie of besturingssysteem. Proofpoint verwacht dat deze tactiek in 2020 zal worden uitgebreid en voortgezet op basis van de statistieken voor het internetverkeer in 2020 en, nogmaals, de moeilijkheid om IP's van dit soort diensten op een zwarte lijst te plaatsen.

Brute-force-aanvallen worden slimmer

Naarmate organisaties blijven overstappen op cloud-gebaseerde productiviteits- en collaboratie-software, worden deze platformen aantrekkelijker voor cybercriminelen. Proofpoint ziet veel phishing-campagnes met het doel om Microsoft Office 365-inloggegevens te stelen. De focus blijft dus liggen op het compromitteren van accounts voor potentieel gebruik in toekomstige campagnes. Maar ook op verdere verspreiding binnen organisaties en op de exploitatie van gerelateerde diensten zoals Microsoft SharePoint.

Hoewel traditionele brute-force-aanvallen op deze en andere cloudservices in 2020 doorgaan, verwacht Proofpooint dat deze aanvallen steeds geavanceerder zullen worden:

  • Aanvallen nemen vaak toe wanneer grote hoeveelheden inloggegevens online beschikbaar komen; Cybercriminelen zullen meer automatisering gebruiken om wachtwoorden te achterhalen. Algoritmes vervangen veelvoorkomende variaties van gelekte wachtwoorden of wachtwoorden die worden vergeleken met meerdere online beschikbare inloggegevens.
  • Kwetsbare netwerkapparaten die door cybercriminelen zijn overgenomen blijven grootschalige, herhaalde, brute-force-aanvallen faciliteren die gebruikmaken van verouderde e-mailprotocollen om authenticatiesystemen (zoals MFA) te omzeilen.
  • Automatisering van brute-force-aanvallen met behulp van tools als Python en Powershell zal toenemen. Dat geldt ook voor hybride aanvallen die gebruikmaken van zowel verouderde protocollen als andere infiltratietechnieken om ongewenste toegang te verkrijgen.
  • Het is opmerkelijk dat vele organisaties de toegevoegde waarde van multifactor-authenticatie herkennen, maar zowel leveranciers als organisaties vinden dat een goede implementatie zijn eigen uitdagingen met zich meebrengt. Daarom kijken organisaties naar biometrie en andere potentiële oplossingen om hun infrastructuur te beveiligen, of deze nu in eigen beheer is of als dienst wordt afgenomen.

Leveringsketens leggen partners bloot

Kwetsbaarheden in de leveringsketen stonden centraal bij de datalekken van grote retailers in 2013 en 2014. Proofpoint verwacht dat deze tactiek in 2020 nog geraffineerder zal worden.

Veel organisaties staan toe dat leveranciers namens hen e-mails versturen, of het nu gaat om klantrelaties, marketing of andere zaken. Proofpoint zag de gevolgen hier al van met grootschalige phishing-campagnes die misbruik konden maken van de merken in wiens naam de leveranciers e-mails verstuurden. Daarom eisen organisaties steeds vaker dat leveranciers hun eigen e-maildomeinen gebruiken om campagnes beter te kunnen volgen en potentiële datalekken te beperken.

Proofpoint verwacht ook dat organisaties steeds beter zullen kijken met welke leveranciers ze gaan samenwerken. Uit een recente steekproef van zorgorganisaties kwamen complexe netwerken van leveranciers aan het licht. Veel van die leveranciers pasten niet dezelfde soorten e-mailbeveiliging toe als de organisaties zelf, waardoor risico's werden gecreëerd door potentiële problemen bij de leveranciers en door het misbruiken van kwetsbaarheden. Om te voorkomen dat cybercriminelen van de ene leverancier naar de andere springen zal het cruciaal zijn te wie deze leveranciers zijn en hen te verplichten specifieke soorten e-mailbeveiliging toe te passen.

Naast de beruchte BEC-aanvallen die vaak worden gebruikt in verband met leveringsketens, zal het aantal aanvallen op cloud-accounts toenemen. Hiervoor gaan cybercriminelen de geloofwaardigheid van phishing-aanvallen vergroten, door zich voor te doen als leverancier of gebruik te maken van gecompromitteerde accounts bij leveranciers. Dit is vergelijkbaar met de manier hoe interne phishing in veel organisaties aanvallen mogelijk maakt die moeilijk te ontdekken zijn. Dit soort risico's leidt ook tot verdere implementatie van DMARC. IT-security-teams bundelen hun krachten met procurement-teams om een op standaarden gebaseerde aanpak van leveranciersbeveiliging te realiseren.

Training staat centraal

Hoewel geautomatiseerde systemen kunnen voorkomen dat veel bedreigingen de inbox bereiken, vormen de gebruikers nog altijd de laatste verdedigingslinie. Vooral omdat cybercriminelen zich wenden tot spraak- en sms-phishing en aanvallen via meerdere kanalen. Als gevolg hiervan is training een cruciaal onderdeel van de beveiliging. Maar de schaarse middelen dwingen organisaties om steeds selectiever te zijn in de training die ze aan hun gebruikers geven. Daarom verwacht Proofpoint het volgende:

  • De prioriteit van trainging wordt bepaald door de dreigingsinformatie en het soort dreigingen dat organisaties daadwerkelijk ervaren.
  • Organisaties zullen vertrouwen op eindgebruikers om phishing-aanvallen te identificeren die door de eerste verdedigingslinie komen. Proofpoint verwacht een bredere toepassing van ingebouwde mechanismen voor e-mailrapportage, inclusief automatisering, om te voorkomen dat IT-systemen worden overweldigd.
  • Organisaties zullen zich tijdens de training richten op interne phishing en gecompromitteerde e-mailaccounts, omdat deze moeilijk te detecteren zijn met geautomatiseerde systemen.
Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!