De grootste securitydreigingen van 2020: een volledig overzicht

Adenike Cosgrove
Tal van securitywaakhonden kijken met ingang van het nieuwe jaar uit naar de belangrijkste cybersecuritytrends van de komende tijd. Zo ook Proofpoint, een Californische softwareontwikkelaar die met zijn Threat Insight Team een gedetailleerd oog houdt op hackgroepen en macrodreigingen. Op uitnodiging van de redactie, bood Adenike Cosgrove – Cybersecurity Strategist bij Proofpoint – haar visie op 2020. Hiermee blijf jij op de hoogte van opkomende en vooraanstaande veiligheidsdreigingen – en kansen.

In het afgelopen jaar zagen we vooral de massale distributie van Remote Access Trojan (RAT)- en downloadermalware. Daarnaast was er sprake van een significante gedragsverandering van oplichters en steeds geavanceerdere aanvallen op cloud-toepassingen. Samen met een aantal andere trends schetst dit een beeld van wat ons gedurende 2020 te wachten staat. Cybercriminelen zullen met name e-mail blijven gebruiken om aanvallen uit te voeren. E-mail is namelijk bij uitstek geschikt voor geloofwaardige phishing-campagnes, gerichte malware-aanvallen om organisaties binnen te komen, en voor de grootschalige verspreiding van banking trojans, downloaders, backdoors en nog veel meer. Cloud-gebaseerde e-mailsystemen zoals Microsoft Office 365 en GSuite worden echter zelf ook belangrijke doelwitten voor cybercriminelen. Zij bieden platformen voor toekomstige aanvallen en verdere verspreiding binnen getroffen organisaties. 

Ransomware 

Hoewel ransomware nauwelijks voorkwam in schadelijke e-mails bleef het in 2019 de krantenkoppen halen, vooral bij de jacht op de ‘grote’ aanvallen. We verwachten dat dit soort aanvallen in 2020 aanhoudt. Hierbij richten cybercriminelen hun aanvallen op servers en toestellen in bedrijfskritische omgevingen, waarbij de kans het grootst is dat slachtoffers betalen voor het decoderen van hun bestanden. 

Dit soort aanvallen is echter over het algemeen minder ernstig dan de initiële aanvallen met RAT’s, downloaders en banking trojans. Daarom is preventie van de initiële aanvallen cruciaal voor organisaties en securityteams. Op het moment dat organisaties slachtoffer worden van ransomware, zullen ze in 2020 steeds vaker ervaren dat ze reeds blootgesteld zijn aan verschillende malwarevormen. Deze kunnen potentiële toekomstige kwetsbaarheden creëren en gegevens of intellectueel eigendom blootleggen. 

Complexe malwareinfecties 

In 2019 werden URL’s vaker gebruikt dan schadelijke bijlagen om malware te verspreiden. De meeste gebruikers zijn geconditioneerd om bijlagen van onbekende afzenders te vermijden. De populariteit van cloud-toepassingen en -opslag betekent echter dat iedereen het gewend is om op links te klikken om een inhoud te kunnen bekijken, te delen en mee te werken. 

Cybercriminelen zullen hier in 2020 op blijven inspelen. Dit komt enerzijds door de effectiviteit van social engineering. Anderzijds omdat URL’s kunnen worden gebruikt om de detectie van steeds complexere malwareinfecties te verbergen. URL’s waren in het verleden vaak gekoppeld aan een uitvoerbaar bestand waarmee een schadelijk document werd geopend. In 2020 zal het gebruik van verkorte URL’s en systemen voor de distributie toenemen om schadelijke inhoud te verbergen voor securityteams en geautomatiseerde systemen. 

Tegelijkertijd worden campagnes steeds complexer en zal social engineering worden verbeterd om gebruikers te verleiden tot de installatie van malware. Cybercriminelen zullen Business Email Compromise (BEC)- tactieken toepassen in malware- en phishing-campagnes. In het geval van BEC-tactieken worden meerdere contactpunten – waaronder LinkedIn – ingezet om een langdurige relatie op te bouwen met het slachtoffer, waarna de verzending van schadelijke inhoud begint. Op dezelfde manier zal modulaire malware, die is ontworpen om een entree te creëren voor secundaire malware, de trend voortzetten van ‘stille infecties’. Hierbij kiezen cybercriminelen een relatief succesvolle weg voor de aanvankelijke infectie, waarna de vergemakkelijkte, schadelijkere intrusie volgt. 

Misbruik van legitieme diensten 

In dezelfde lijn zullen cybercriminelen steeds vaker misbruik maken van legitieme diensten voor het hosten en
verspreiden van kwaadaardige e-mailcampagnes, malware en phishing-kits. Hoewel het gebruik van Microsoft SharePoint-links voor het hosten van malware al enige tijd gebruikelijk is, zien we nu dat dezelfde functionaliteit wordt gebruikt voor interne phishing. Een gecompromitteerd Office 365-account kan bijvoorbeeld worden gebruikt om een interne phishing-e-mail te versturen naar een phishing-kit die via SharePoint op een extern account gehost wordt. Zo worden slachtoffers nooit doorgestuurd naar een externe phishing-site en lijken e-mails te komen van legitieme mensen binnen de organisatie. Dit type aanval vereist slechts een paar gecompromitteerde accounts en is moeilijk te detecteren, zowel voor eindgebruikers als voor het merendeel van geautomatiseerde beveiligingssystemen. We verwachten dat deze techniek in 2020 vaker zal voorkomen vanwege haar effectiviteit. 

Op dezelfde manier zal het grootschalige misbruik van andere legitieme cloud-gebaseerde hostingdiensten voor de levering van malware voortduren. Hierbij profiteren cybercriminelen ervan dat iedereen gewend is op links te klikken en dat de meeste organisaties diensten zoals Dropbox en Box niet op een blacklist kunnen wegschrijven. 

Brute-force-aanvallen worden slimmer 

Naarmate organisaties blijven overstappen op cloud-gebaseerde productiviteits- en collaboratiesoftware, worden deze platformen aantrekkelijker voor cybercriminelen. We zien veel phishing-campagnes met het doel om Microsoft Office 365-inloggegevens te stelen. De focus blijft dus liggen op het compromitteren van accounts voor potentieel gebruik in toekomstige campagnes. Maar ook op verdere verspreiding binnen organisaties en de exploitatie van gerelateerde diensten zoals Microsoft SharePoint. 

Hoewel traditionele brute-forceaanvallen in 2020 aanhouden, verwachten we dat deze aanvallen steeds geavanceerder en effectiever zullen worden:

• Aanvallen nemen vaak toe wanneer grote hoeveelheden inloggegevens online beschikbaar komen. Cybercriminelen zullen meer automatisering gebruiken om wachtwoorden te achterhalen. Algoritmes vervangen veelvoorkomende variaties van gelekte wachtwoorden of wachtwoorden die worden vergeleken met soortgelijke, beschikbare online inloggegevens. 

• Kwetsbare netwerkapparaten die door cybercriminelen zijn overgenomen, blijven herhaaldelijk grootschalige brute-force-aanvallen faciliteren. In het omzeilen van authenticatiesystemen worden de kwetsbaarheden van verouderde e-mailprotocollen benut. Blijf geüpdatet! 

• Automatisering van brute-forceaanvallen met behulp van tools als Python en Powershell zal toenemen. Dat geldt ook voor hybride aanvallen die van zowel verouderde protocollen als andere infiltratietechnieken gebruikmaken om ongewenste toegang te verkrijgen. 

Het is opmerkelijk dat vele organisaties de toegevoegde waarde van multifactorauthenticatie herkennen, maar zowel leveranciers als organisaties vinden dat een goede implementatie zijn eigen uitdagingen met zich meebrengt. Daarom kijken organisaties naar biometrie en andere potentiële oplossingen om hun infrastructuur te beveiligen, zij het in eigen beheer of als afgenomen dienst. 

Leveringsketens leggen partners bloot Kwetsbaarheden in de leveringsketen stonden centraal bij de datalekken van grote retailers in 2013 en 2014. We verwachten dat deze tactiek in 2020 een geraffineerde comeback maakt. Veel organisaties staan toe dat leveranciers namens hen e-mails versturen, of het nu gaat om klantrelaties, marketing of andere zaken. We zagen de gevolgen hier al van met grootschalige phishing-campagnes die misbruik maakten van de merken in wiens naam de leveranciers e-mails verstuurden. Daarom eisen organisaties steeds vaker dat leveranciers hun eigen e-maildomeinen gebruiken, om campagnes beter te kunnen volgen en potentiële datalekken te beperken. 

We voorspellen dat organisaties steeds beter zullen kijken met welke leveranciers ze gaan samenwerken. Uit een recente steekproef van zorgorganisaties kwamen complexe netwerken van leveranciers aan het licht. Veel van die leveranciers pasten niet dezelfde soorten e-mailbeveiliging toe als de organisaties zelf, waardoor risico’s werden gecreëerd kwetsbaarheiden bij de leveranciers te misbruiken. Om te voorkomen dat cybercriminelen van de ene leverancier naar de andere springen, zal het cruciaal zijn om elke leverancier te identificeren en te verplichten omadequate e-mailbeveiliging toe te passen. 

Naast de beruchte BEC-aanvallen, die vaak worden gebruikt in verband met leveringsketens, zal het aantal aanvallen op cloud-accounts toenemen. Hiervoor gaan cybercriminelen de geloofwaardigheid van phishingaanvallen vergroten, door zich voor te doen als leverancier of gebruik te maken van gecompromitteerde accounts bij leveranciers. Dit is vergelijkbaar met de manier waarop interne phishing aanvallen mogelijk maakt – maar dan uitvergroot. Dit soort risico’s leidt ook tot verdere implementatie van DMARC. ITsecurity- teams bundelen hun krachten met procurement-teams om een op standaarden gebaseerde aanpak van leveranciersbeveiliging te realiseren. 

Bewustwording blijft centraal 

Hoewel geautomatiseerde systemen kunnen voorkomen dat veel bedreigingen de inbox bereiken, vormen de gebruikers nog altijd de laatste verdedigingslinie. Naarmate criminelen zich vaker wenden tot spraak-, sms- en social media-benadering, vergroot de rol van bewustwording en training in bedrijfsveiligheid. Schaarse middelen dwingen organisaties om steeds selectiever te zijn in de training die ze aan hun gebruikers geven. Daarom verwachten we de volgende ontwikkelingen. 

• De prioriteit van training wordt bepaald door de dreigingsinformatie en het soort dreigingen dat organisaties daadwerkelijk ervaren. 

• Organisaties zullen vertrouwen op eindgebruikers om phishingaanvallen te identificeren die door de eerste verdedigingslinie dringen. We verwachten een bredere toepassing van ingebouwde mechanismen voor e-mailrapportage, inclusief automatisering, om te voorkomen dat IT-systemen worden overweldigd. 

• Organisaties zullen zich tijdens de training richten op interne phishing en gecompromitteerde e-mailaccounts, omdat deze moeilijk te detecteren zijn met geautomatiseerde systemen.

afbeelding van Adenike Cosgrove

Adenike Cosgrove | Cybersecurity Strategist bij Proofpoint

Bekijk alle artikelen van Adenike