Vijf cyberbedreigingen om in de smiezen te houden

Door: Vincent Zeebregts, country manager Fortinet Nederland

En als je security-tools in 2021 je organisatie al onvoldoende bescherming boden, zal de situatie er in 2022 zeker niet beter op worden. Als je nog steeds worstelt met de integratie en het beheer van allerhande losstaande beveiligingsoplossingen, is de kans groot dat de resulterende complexiteit en het gebrek aan overzicht je organisatie aan risico’s blootstellen. Niemand kan de toekomst voorspellen, maar hier volgt een overzicht van vijf nieuwe cyberbedreigingen die we bij FortiGuard Labs in ieder geval nauwlettend in het oog houden.

Vijf cyberbedreigingen om beducht op te zijn:

1. Aanvallen op Linux-omgevingen

Cybercriminelen hebben Linux tot voor kort grotendeels links laten liggen, maar daar begint nu verandering in te komen. Dit besturingssysteem draait op de back-endsystemen van veel netwerken en containergebaseerde oplossingen voor IoT-apparaten en bedrijfskritische applicaties. Daarmee groeit Linux uit tot een populair doelwit voor cybercriminelen. Momenteel komen aanvallen op Linux-systemen en de applicaties die daarop draaien net zo vaak voor als aanvallen op Windows-omgevingen.

Veel organisaties zijn eraan gewend om zich tegen Windows-aanvallen te verdedigen, maar hebben weinig ervaring met de bescherming van Linux en het analyseren van malware die op dat besturingssysteem is gericht. En het vervelendste is nog dat Linux-omgevingen vaak waardevolle data behuizen. Dan valt te denken aan Secure Socket Shell (SSH)-aanmeldingsgegevens, certificaten en gebruikersnamen en wachtwoorden voor applicaties.

Cybercriminelen kunnen met behulp van de malware Vermilion Strike de Beacon-functie van de legitieme beveiligingsapplicatie Cobalt Strike gebruiken om Linux-systemen op afstand aan te vallen zonder te worden gedetecteerd. Microsoft is momenteel bezig om zijn Windows Subsystem for Linux (WSL) actief te integreren met Windows 11. En er zal zich onvermijdelijk malware aandienen die daar misbruik van maakt. WSL is een compatibiliteitslaag die wordt gebruikt om Linux-bestanden in Windows uit te voeren. Daarnaast is er sprake van een toename van botnet-malware die speciaal voor Linux-platforms is ontwikkeld. De kwetsbaarheid Log4J levert eveneens problemen op. Cybercriminelen benutten die door gebruik te maken van uitvoerbare Linux-bestanden.

2. Aanvallen op satellietnetwerken

Het aantal internetverbindingen via satellieten neemt toe. En daarmee bestaat de kans op een evenredige groei van cyberaanvallen die zich op satellietnetwerken richten. Momenteel zijn er al zo’n zes grote aanbieders van satellietinternet actief. De belangrijkste doelwitten zullen organisaties zijn die een beroep doen op satellietverbindingen om activiteiten te ondersteunen waarbij latency uit den boze is. Dan valt te denken aan online games en de levering van essentiële diensten aan externe locaties, beheerders van olieleidingen, exploitanten van cruiseschepen en luchtvaartmaatschappijen. Deze ontwikkeling vergroot ook het potentiële aanvalsoppervlak, aangezien organisaties satellietnetwerken inzetten voor het verbinden van systemen die eerder geen deel uitmaakten van hun netwerk, zoals OT-apparatuur op externe locaties.

3. Aanvallen op cryptowallets

Aanvallen op cryptowallets vertegenwoordigen eveneens een nieuw risico. Cybercriminelen ontwikkelen namelijk steeds meer malware om belangrijke informatie buit te maken, zoals aanmeldingsgegevens, private sleutels voor bitcoins, bitcoinadressen en adressen van cryptowallets. Gewapend met deze informatie kunnen zij de digitale portemonnee van gebruikers leegplukken. Deze aanvallen beginnen vaak als phishing-campagne. Hierbij maken cybercriminelen gebruik van de klassieke techniek om een kwaadaardige Word-bijlage aan een spambericht toe te voegen. De malware wordt uitgevoerd met behulp van een macro in het Word-document. Vervolgens steelt die aanmeldingsgegevens en informatie over cryptowallets van de besmette apparaten van slachtoffers.

Een vergelijkbare nieuwe bedreiging is een generator van valse Amazon-vouchers die de wallet van het slachtoffer vervangen door de wallet van de aanvaller. En dan is er nog ElectroRAT, een nieuwe remote access trojan (RAT) die het speciaal op cryptovaluta’s heeft gemunt. Deze combineert social engineering-technieken met op cryptovaluta-applicaties die als Trojaans paard dienen. ElectroRAT is in staat om toetsenaanslagen vast te leggen, screenshots te maken, bestanden te uploaden en downloaden en opdrachten uit te voeren.

4. Aanvallen op OT-systemen

Ransomware-aanvallen richten zich steeds vaker op vitale infrastructuren. Inmiddels wordt de term ‘killware’ gebruikt om serieuze ransomware-incidenten te beschrijven. Hoewel deze aanvallen er niet per se op zijn gericht om mensenlevens in gevaar te brengen, wordt er van killware gesproken omdat deze ransomware ziekenhuizen, pijpleidingen, waterzuiveringsinstallaties en ander vitale infrastructuren platlegt en afwijkt van reguliere cyberbedreigingen vanwege de directe gevolgen die deze voor mensen kan hebben.

Cybercriminelen zouden kunnen afstappen van aanvallen op kleinere doelwitten naar grootschaliger, meer publieke aanvallen die van invloed zijn op de fysieke wereld en meer slachtoffers maken. De vrijwel alomtegenwoordige convergentie van IT- en operationele technologie (OT)-netwerken maakt het eenvoudiger voor cybercriminelen om toegang te krijgen tot OT-systemen via besmette thuisnetwerken en apparatuur van thuiswerkers. Wat de situatie er niet beter op maakt, is dat zij niet langer specialistische kennis van ICS- en SCADA-systemen nodig hebben. Ze kunnen nu simpelweg aanvalskits op het dark web kopen.

5. Aanvallen op de netwerkrand

De toename van het aantal thuiswerkers stelt bedrijfsnetwerken bloot aan diverse bedreigingen die zich traditioneel op thuisnetwerken richtten. Door de resulterende uitbreiding van de netwerkrand kunnen cyberbedreigingen zich op meer locaties langdurig ongezien ophouden, iets wat ‘living off the land’ wordt genoemd. Cybercriminelen zetten hierbij malware in om misbruik te maken van bonafide tools en functionaliteit die in de besmette omgeving aanwezig zijn. Als ze daarmee kwaadaardige activiteiten uitvoeren en informatie naar buiten smokkelen, lijkt het zo net alsof er sprake is van normale systeemactiviteit. Living off the land-aanvallen kunnen ook worden gecombineerd met edge access trojans (EAT’s). Dat houdt in dat cyberbedreigingen zich nu ook aan de netwerkrand kunnen ophouden. Ze kunnen daar zonder gedetecteerd te worden gebruikmaken van lokale IT-bronnen om alle activiteiten en het dataverkeer in de gaten te houden. Vervolgens kunnen ze informatie buitmaken of systemen versleutelen om losgeld te vragen.

Bescherming bieden tegen bestaande en nieuwe uitdagingen

Organisaties die zich willen voorbereiden op wat er in 2022 gaat komen moeten absoluut meer prioriteit toekennen aan het versterken van de beveiliging van hun Linux- en Windows-systemen. En als ze nieuwe technologieën zoals satellietverbindingen in gebruik nemen, zouden ze daarbij altijd een security first-aanpak moeten hanteren. Maar het is ook belangrijk om er rekening mee te houden dat cybercriminelen tactieken blijven gebruiken zolang die effectief zijn. Dus terwijl je je voorbereidt op nieuwe bedreigingen moet je de bestaande aanvalstechnieken niet uit het oog verliezen. Bescherming bieden tegen zowel bestaande als nieuwe bedreigingen vraagt om een geïntegreerde beveiligingsaanpak. Organisaties zouden op zoek moeten gaan naar een security-platform op basis van een mesh-architectuur met een verzameling van beveiligingsoplossingen die speciaal zijn ontwikkeld om met elkaar samen te werken.