Cybercriminelen verzilveren miljoenen met formjacking en vormen een serieuze bedreiging voor bedrijven en consumenten

Doordat ransomware en cryptojacking minder lucratief zijn geworden moeten cybercriminelen gebruik gaan maken van alternatieve methoden, zoals formjacking. Dat blijkt uit Symantec’s Internet Security Threat Report (ISTR), Volume 24.

symantec Symantec's ISTR biedt een overzicht van het digitale risicolandschap en geeft inzicht in wereldwijde dreigingen, trends in cybercriminaliteit en motieven voor aanvallers. Het rapport analyseert data van Symantec's Global Intelligence Network, het grootste civiele netwerk ter wereld. Dit netwerk registreert gebeurtenissen van 123 miljoen aanvalssensoren wereldwijd, blokkeert dagelijks 142 miljoen bedreigingen en controleert bedreigingsactiviteiten in meer dan 157 landen ter wereld.

Nederland eindigt wereldwijd op de derde plaats op het gebied van phishing: 1 op de 877 mails zijn phishing e-mails. Hiermee laten we alleen Saoedi-Arabië en Noorwegen achter ons. Meer dan de helft (53.9%) van de e-mails in Nederland is spam en 1 op de 241 mails is schadelijk. Onze mobiele telefoon valt nog minder vaak ten prooi. Nederland draagt wereldwijd maar voor 0.6% bij aan het totale aantal mobile ransomware en 2.1% aan het totale aantal mobile malware. De belangrijkste bevindingen uit het rapport zijn:

Formjacking: dé nieuwe manier om snel rijk te worden voor cybercriminelen

Formjacking-aanvallen zijn eenvoudig. Het is in wezen een virtuele manier van pinautomaat-skimming, waarbij cybercriminelen kwaadaardige codes in de websites van retailers injecteren om de betaalgegevens van klanten te stelen. Gemiddeld worden elke maand meer dan 4.800 unieke websites gesaboteerd met formjacking. Symantec blokkeerde in 2018 meer dan 3,7 miljoen formjacking-aanvallen op endpoints, waarvan bijna een derde plaatsvond in november en december – de drukste onlinewinkelperiode van het jaar.

Terwijl een aantal bekende websites van retailers, waaronder Ticketmaster en British Airways, de afgelopen maanden werden gecompromitteerd met formjacking code, blijkt uit onderzoek van Symantec dat over het algemeen juist kleine- en middelgrote retailers het vaakst getroffen worden.

"Formjacking vormt een ernstige bedreiging voor zowel bedrijven als consumenten", aldus Robert den Drijver, Director BNLX & Nordics, Consumer & Small Business bij Symantec. "Consumenten kunnen op geen enkele manier weten of ze een besmette website bezoeken als zij geen gebruik maken van een uitgebreide beveiligingsoplossing. Hun waardevolle persoonlijke en financiële informatie blijft zo vatbaar voor identiteitsdiefstal. Voor ondernemingen weerspiegelt de explosieve toename van formjacking het groeiende risico van supply chain-aanvallen, om nog maar te zwijgen over de reputatie- en aansprakelijkheidsrisico's waarmee bedrijven worden geconfronteerd wanneer zij worden gecompromitteerd".

De afnemende opbrengsten van cryptojacking en ransomware

De afgelopen jaren waren ransomware en cryptojacking de “go-to” methoden voor cybercriminelen die gemakkelijk geld willen verdienen. Echter werd er in 2018 een afname geconstateerd in de activiteit en de opbrengsten van deze methoden. Dit is voornamelijk het gevolg van de afnemende cryptocurrency-waarden en de toenemende verschuiving naar cloud- en mobiel computergebruik, waardoor aanvallen simpelweg minder effectief zijn. Voor het eerst sinds 2013 nam het aantal ransomware-infecties af, met een daling van 20 procent. Desalniettemin moeten bedrijven op hun hoede zijn. In 2018 stegen de ransomware-infecties bij bedrijven namelijk wel weer met 12 procent, waarmee de algemene neerwaartse trend werd omgebogen en de voortdurende dreiging van ransomware voor organisaties werd aangetoond. Meer dan acht op de tien ransomware-infecties betreft een organisatie.

Na een piek in het begin van het jaar zijn de cryptojacking-activiteiten in de loop van 2018 met 52 procent afgenomen. Zelfs nu de cryptocurrencyprijzen tot wel 90 procent zijn gedaald en het stelen ervan dus minder winstgevend is, blijft cryptojacking aantrekkelijk voor aanvallers vanwege de lage drempel, minimale overhead en de anonimiteit die het hen biedt. Symantec blokkeerde alleen in december 2018 al 3,5 miljoen cryptojacking aanvallen op hun endpoints.

Living Off the Land tools en supply chain zwaktes sporen aanvallen aan

Supply chain en Living Off the Land (LotL) aanvallen zijn niet meer weg te denken uit het moderne digitale risicolandschap, wat door zowel cybercriminelen als gerichte aanvalsgroepen op grote schaal wordt overgenomen. Het aantal supply chain aanvallen is in 2018 met 78 procent toegenomen.

LotL-technieken stellen aanvallers in staat om onopvallend te blijven en hun activiteiten te verbergen in een massa van legitieme processen. Zo is het gebruik van kwaadaardige PowerShell-scripts vorig jaar met 1000 procent toegenomen. Terwijl Symantec elke maand 115.000 schadelijke PowerShell-scripts blokkeert, is dit nog geen één procent van het totale PowerShell-gebruik. Een geforceerde aanpak om alle PowerShell-activiteiten te blokkeren zou organisaties verstoren, wat nog meer laat zien waarom LotL-technieken de favoriete tactiek zijn geworden voor veel gerichte aanvalsgroepen.

Naast LotL en de zwakke punten in de software supply chain, maken aanvallers ook steeds vaker gebruik van conventionele aanvalsmethoden om te infiltreren in organisaties, zoals spear phishing, Hoewel het verzamelen van informatie het primaire motief van gerichte aanvallen blijft, is het aantal aanvalsgroepen dat malware gebruikt om bedrijfsactiviteiten te vernietigen en te verstoren in 2018 met 25 procent toegenomen.

Op het gebied van beveiliging is de cloud de nieuwe PC

De beveiligingsfouten die werden gemaakt toen de PC werd opgenomen in het bedrijfsleven zijn nu op eenzelfde manier zichtbaar bij cloud-oplossingen. Eén verkeerd geconfigureerde cloud-workload of -opslag kan een bedrijf miljoenen euro’s kosten en eindigen in een complete nachtmerrie. In het afgelopen jaar zijn meer dan 70 miljoen bestanden gestolen of gelekt als gevolg van slecht geconfigureerde S3 buckets. Er zijn dan ook talrijke gemakkelijke tools beschikbaar, waarmee cyberaanvallers de verkeerd geconfigureerde cloud-bronnen op het internet kunnen identificeren.

De recente ontdekkingen van kwetsbaarheden van de hardware chip, waaronder Meltdown, Spectre en Foreshadow, brengen clouddiensten in gevaar. De clouddiensten kunnen misbruikt worden om toegang te verkrijgen tot de beschermde geheugenruimte van andere bedrijven, die gehost worden op dezelfde fysieke server.

Internet of Things in het vizier van cybercriminelen en aanvalsgroepen

Terwijl het aantal Internet of Things (IoT)-aanvallen hoog blijft en overeenkomt met de niveaus van 2017, is het profiel van IoT-aanvallen drastisch aan het veranderen. Hoewel routers en aangesloten camera's het grootste percentage geïnfecteerde apparaten vormen (90 procent), blijkt bijna elk IoT-apparaat kwetsbaar. Variërend van slimme gloeilampen tot stemassistenten die extra toegangspunten voor aanvallers creëren. Aanvalsgroepen richten zich steeds meer op IoT als een belangrijk toegangspunt. De opkomst van de VPNFilter router malware vertegenwoordigt een evolutie in traditionele IoT-bedreigingen. Doordat het is ontworpen met een bekwame en goed uitgeruste bedreigingsactor, stelt het de makers ervan in staat om een apparaat te onbruikbaar te maken of volledig schoon te vegen, referenties en gegevens te stelen en SCADA-communicatie te onderscheppen.

"Met een toenemende trend naar de convergentie van IT en industrieel IoT, is het volgende cyberslagveld operationele technologie", zegt Orla Cox, directeur van Symantec Security Response. "Een groeiend aantal groepen, zoals Thrip en Triton, tonen interesse in het compromitteren van operationele systemen en industriële controlesystemen om zich mogelijk voor te bereiden op een cyberoorlog".

De bewustwording van privacy

Smartphones zouden wel eens het grootste spionageapparaat kunnen zijn dat ooit is gemaakt - een apparaat met een camera, een microfoon en locatiedetector, allemaal in één – die vrijwillig wordt gedragen en gebruikt overal waar de eigenaar naar toe gaat.

Volgens onderzoek van Symantec vraagt 45 procent van de populairste Android-apps en 25 procent van de populairste iOS-apps om locatiedetectie, 46 procent van de populaire Android-apps en 24 procent van de populaire iOS-apps om toestemming voor toegang tot de camera van uw toestel en worden e-mailadressen gedeeld met 44 procent van de beste Android-apps en 48 procent van de populairste iOS-apps.

Digitale hulpmiddelen die gegevens van mobiele telefoons verzamelen om kinderen, vrienden of verloren telefoons op te sporen zijn ook in opkomst en maken de weg vrij voor het misbruiken van het opsporen van anderen zonder toestemming. Meer dan 200 apps en diensten bieden stalkers een verscheidenheid aan mogelijkheden, waaronder het bijhouden van basislocaties, het verzamelen van tekst en zelfs het maken van geheime video-opnames.