Cybercriminelen bekwamer en meedogenlozer

Gepubliceerd op 2 oktober 2020 om 14:30
Cybercriminelen bekwamer en meedogenlozer

Microsoft heeft een nieuwe editie van haar beveiligingsrapport uitgegeven. Daarin staat het Amerikaanse hard- en softwarebedrijf uitgebreid stil bij de laatste ontwikkelingen op het gebied van malware en cybersecurity. Niet alleen neemt het aantal cyberaanvallen toe, tevens worden ze met de dag geavanceerder, zo valt er te lezen. Het toenemend aantal aanvallen is volgens Microsoft slechts gedeeltelijk toe te schrijven aan de wereldwijde coronapandemie.

Dat en nog veel meer beschrijft Microsoft uitgebreid in haar 'Digital Defense Report'. Het is de eerste uitgave van Microsofts beveiligingsrapport onder deze naam.

Digital Defense Report

Jarenlang publiceerde Microsoft onder de noemer Security Intelligence Report ieder jaar een lijvig rapport over de stand van zaken in de wereld van cybercrime en cybersecurity. Alle grote gebeurtenissen op het gebied van beveiliging en malware van het afgelopen jaar kwamen daarin uitvoerig aan bod. Het bood inzicht in het alsmaar veranderende dreigingslandschap, zowel van beveiligingsexperts als zogeheten threat actors als hackers, cybercriminelen en (niet-)statelijke actoren.

Als donderslag bij heldere hemel besloot Microsoft in 2018 om niet langer het Security Intelligence Report te publiceren. Inmiddels zijn we twee jaar verder en maakt de maker van het besturingssysteem Windows een draai. Deze week presenteerde het bedrijf de eerste editie van het Digital Defense Report.

Het rapport is bijna 90 pagina’s lang en geeft gedetailleerde informatie over de belangrijkste ontwikkelingen op het gebied van cybercrime en cybersecurity. Hiervoor heeft Microsoft data verzameld en gebruikt over de periode tussen juli 2019 en juni 2020. Vanwege de omvang noemen we hieronder een aantal bevindingen.

Dreigingsactoren sterk toegenomen

Microsoft begint haar Digital Defense Report met de hoofdconclusie. Het aantal threat actors is afgelopen jaar sterk toegenomen. Bovendien maken ze gebruik van steeds geavanceerdere technieken. Hierdoor is het steeds lastiger om hackers op te sporen en vormen ze in toenemende mate een dreiging, zowel voor particulieren als grote internationale bedrijven. Statelijke actoren gebruiken nieuwe infiltratietechnieken om data buit te maken van doelwitten uit de vitale infrastructuur. En criminele organisaties verbergen hun activiteiten zich steeds vaker in de cloud.

In 2019 blokkeerde Microsoft 13 miljard verdachte e-mails. Deze mails bevatten meer dan één miljard malafide links waarmee hackers een phishingaanval probeerden uit te voeren. Het is vaak de eerste stap van Business Email Compromise (BEC). Daarbij hacken criminelen het e-mailaccount van de directeur van een bedrijf, houden in de gaten op wat voor manier hij communiceert en slaan dan toe. Hoe? Door bijvoorbeeld een bericht te versturen waarin staat dat een niet-bestaande factuur op korte termijn voldaan moet worden.

Voorbeeld van BEC waar cybercrimineel zich voordoet als CEO

Om toegang tot deze e-mails te krijgen, worden niet alleen phishingtechnieken gebruikt. Ze misbruiken tevens e-mailprotocols als IMAP en SMTP. Deze methode is volgens Microsoft de laatste maanden in opkomst, omdat de daders hiermee multifactorauthenticatie (MFA) kunnen omzeilen.

Voorbeeld van Credential phishing

Cybercriminelen bekwamer en meedogenlozer

Microsoft zegt dat cybercriminelen steeds bekwamer en meedogenlozer worden. Ze passen hun technieken telkens aan, waardoor ze steeds vaker successen boeken bij cyberaanvallen. Het afgelopen jaar gebeurde het een aantal keer dat besmetting van het netwerk en het buitmaken van data minder dan drie kwartier in beslag nam.

Tegelijkertijd zijn cybercriminelen opportunistisch. Bij het uitbreken van de coronapandemie tussen half februari en maart, was er een piek te zien in het cyberaanvallen. Hackers maakten gebruik van social engineering om nietsvermoedende slachtoffers voor de gek te houden. Daarna nam het aantal COVID-19 gerelateerde cyberaanvallen weer sterk af.

Ransomware en Doxware

Ransomware-aanvallen waren het afgelopen jaar de belangrijkste reden waarom cybersecurityexperts moesten uitrukken. Bij een ransomware-aanval infecteren hackers een computer en proberen van daaruit zich in het gehele systeem of netwerk van een bedrijf te nestelen. Wat ze vervolgens doen hangt af van de daders. De een kopieert of verwijdert bestanden en dreigt deze aan de hele wereld te tonen (doxware). De ander maakt bestanden ontoegankelijk door ze te versleutelen. In beide gevallen eisen de daders dat het slachtoffer losgeld betaalt.

Details van het aanvalspatroon van ransomware-operaties waargenomen door Microsoft Threat Protection-intelligentie in het begin van 2020. Payloads kunnen variëren, maar beperkende maatregelen zijn van toepassing op alle varianten.

De laatste maanden ziet Microsoft een duidelijke verschuiving. Cybercriminelen maken meer en meer gebruik van phishing. Daarbij proberen kwaadwillenden de persoons- en inloggegevens van slachtoffers buit te maken via een gerichte aanval, veelal een malafide link in een e-mail of WhatsApp-bericht. De daders maken handig misbruik van de naamsbekendheid van grote merken. Microsoft, UPS, Amazon, Apple en Zoom staan in de top vijf van de merken die het vaakst gespooft worden.

Hackers slaan niet alleen rechtstreeks toe. Het afgelopen jaar slaagden ze er vaker in om data te bemachtigen van hun doelwit via een toeleverancier uit de productieketen. Ze benutten de infrastructuur van derden om toegang te verkrijgen tot de systemen van hun klanten. Ondanks de toename vertegenwoordigen cyberaanvallen via toeleveranciers volgens Microsoft maar “een relatief klein percentage”.

Statelijke actoren bijzonder actief

Niet alleen cybercriminelen, maar ook statelijke actoren waren het afgelopen jaar bijzonder actief. Microsoft verstuurde in een jaar tijd meer dan 13.000 berichten naar klanten dat statelijke actoren een cyberaanval hadden uitgevoerd.

De helft van de hackaanvallen (52 procent) zijn volgens Microsoft te herleiden naar hackersgroepen die door Rusland worden gesteund. Iran is naar eigen zeggen verantwoordelijk voor 25 procent van de cyberaanvallen, China voor 12 procent. De resterende 11 procent komt voor rekening van Noord-Korea en andere regimes. De Verenigde Staten (69 procent) en het Verenigd Koninkrijk (19 procent) zijn de meest geliefde doelwitten van statelijke actoren.

Microsoft heeft ook gekeken naar welke technieken statelijke actoren gebruiken voor hun cyberaanvallen. Password sprayingspear-phishing en exploits in VPN-servers zijn bij deze groep het populairst.

Voorbeeld van statelijke actoren en hun activiteiten

Tweestapsverificatie had veel cyberaanvallen afgewend 

De trends van afgelopen jaar op het gebied van cybercrime en cybersecurity laten duidelijk zien dat het belangrijker dan ooit is om stappen te ondernemen. Het bedrijfsleven, non-profitorganisaties, politieke instanties: iedereen moet volgens Microsoft investeren in mensen en technologie om hackers een halt toe te roepen. Door het inschakelen van tweestapsverificatie had de meerderheid van de cyberaanvallen kunnen voorkomen, zo claimt Microsoft.

Microsoft Digital Defense Report 2020 September Gecomprimeerd
PDF – 2,8 MB 507 downloads

Bron: microsoft.com, vpngids.nl