Nozomi Networks - Cyberdreigingen in de eerste helft van 2020
Het OT/IoT-dreigingslandschap voor de eerste helft van 2020 zag een toename van bedreigingen voor OT- en IoT-netwerken, met name IoT-botnet-, ransomware- en COVID-19-aanvallen. Deze aanvalstypen zijn in lijn met wereldwijde computer- en sociaaleconomische trends. De snelle opkomst van IoT-apparaten, de wereldwijde COVID-19 pandemie en de toenemende groei en verfijning van cybercriminelen zijn belangrijke drijfveren. Deze blogpost biedt een overzicht van de meest actieve bedreigingen die de experts van Nozomi Networks de afgelopen maanden hebben waargenomen, evenals inzicht in tactieken en technieken en aanbevelingen voor de bescherming van kritieke netwerken.
Welke bedreigingen zijn in de eerste helft van het jaar massaal toegenomen?
IoT-malwaredreigingen nemen toe en zullen in de nabije toekomst een belangrijk deel van het dreigingslandschap uitmaken. Verschillende factoren dragen bij aan deze ongekende groei:
- Exponentiële groei van het aantal IoT-apparaten.
- Het onveilige gebruik van IoT-apparaten die rechtstreeks toegankelijk zijn via het internet.
- Een gebrek aan beveiligingsupdates voor IoT-apparaten, waardoor de apparaten kwetsbaar blijven voor veelvuldige aanvallen van vele dreigingsactoren.
- Het gebrek aan inzicht in de beveiligingshouding van IoT-apparaten.
Een van de interessantste botnets is Dark Nexus, dat in april 2020 werd ontdekt. De beheerders van Dark Nexus brengen regelmatig nieuwe updates uit, vergelijkbaar met commerciële software. Bovendien verkopen de beheerders van Dark Nexus hun DDoS-verzachtende diensten openlijk op het internet. Technisch gezien onderscheidt Dark Nexus zich van concurrerende botnets door een geavanceerd mechanisme dat een profiel maakt van de processen die op het geïnfecteerde apparaat draaien. Het doel van dit mechanisme is het identificeren van processen die de vlotte uitvoering van de malware zouden kunnen belemmeren. Hoewel Dark Nexus aanvankelijk slechts een paar duizend apparaten infecteerde, kan dit aantal snel toenemen. Daarom moet Dark Nexus dringend in het oog worden gehouden.
Doet ransomware er nog toe?
Ransomware-aanvallen gericht op verschillende bedrijfstakken zijn nog steeds aan de orde van de dag. Wat veranderd is, zijn de doelwitten. Ransomwarebendes hebben hun focus verlegd naar grotere, kritischer doelen met meer geld, waaronder fabrikanten, energiebedrijven en lokale gemeenten. Ransomware-exploitanten versleutelen doorgaans bestanden en eisen losgeld van de slachtoffers. Nu exfiltreren ze ook bedrijfsgegevens en dreigen deze op het internet te publiceren om nog meer druk uit te oefenen.
Hoe wordt de COVID-19 pandemie uitgebuit voor cybercriminaliteit?
De wereldwijde COVID-19 pandemie biedt cybercriminelen nog meer vectoren en mogelijkheden voor uitbuiting. Het aanvalsoppervlak voor de meeste bedrijven is sterk toegenomen door de snelle verschuiving naar een "thuiskantoor"-beleid. Sommige bedrijven beschikken over infrastructuur om werken op afstand mogelijk te maken, zoals VPN's en werklaptops. Veel andere bedrijven zijn hier echter niet op voorbereid en moeten snel oplossingen vinden, waardoor de deur naar beveiligingsrisico's openstaat. Bovendien maakt het klimaat van angst en onzekerheid als gevolg van COVID-19 werknemers kwetsbaarder voor social engineering-aanvallen. Cybercriminelen gebruikten in de eerste aanvalsfase vooral phishing-e-mails om gebruikers ertoe te bewegen persoonlijke informatie prijs te geven of schadelijke software te draaien.
Een voorbeeld is de Chinoxy Backdoor-malwarefamilie. Het voegt een document met informatie ter ondersteuning van COVID-19 in een .rtf-bestand dat CVE-2017-11882 exploiteert. De exploit wordt gebruikt om schadelijke binaries op de machine te droppen die HTTP over poort 443 gebruiken voor C&C-communicatie. Wanneer cybercriminelen toegang krijgen tot systemen en netwerkgegevens stelen, laten ze altijd een spoor achter. Dit is goed nieuws, want dit spoor kan worden geïdentificeerd, mits bedrijven duidelijk inzicht hebben in wat er in hun OT/IoT-netwerken gebeurt.
Wat zijn andere uitdagingen op het gebied van IT-beveiliging?
Kwetsbaarheden in ICS-systemen bieden aanvallers de mogelijkheid om gegevens te manipuleren, wat gevolgen kan hebben voor fysieke processen en uiterst gevaarlijk kan zijn voor de industriële productie. Daarom is het belangrijk om bij de beoordeling van beveiligingsrisico's rekening te houden met trends op het gebied van bedreigingen door kwetsbaarheden. Het aantal door ICS-CERT gevonden kwetsbaarheden in de eerste helft van 2020 is aanzienlijk toegenomen ten opzichte van 2019. Een verstandige aanpak voor de industrie is om de blootstelling te beperken door kwetsbaarheden die gemakkelijk te beperken zijn eerst aan te pakken. Na verloop van tijd kunnen steeds meer kwetsbaarheden worden gemitigeerd. Onjuiste inputvalidatie en bufferoverloopkwetsbaarheden staan qua aantallen bovenaan de lijst van kwetsbaarheden voor 2020. Terwijl de eerste in de categorie van gemakkelijk te verhelpen kwetsbaarheden valt, is de tweede moeilijker te verhelpen. Voor buffer overflows zijn firmware-updates van fabrikanten, vervanging van oude apparaten en andere oplossingen nodig. Helaas zal deze groep de komende jaren waarschijnlijk een aanzienlijk percentage van de ontdekte kwetsbaarheden blijven uitmaken.
Welke cyberdreigingen worden verwacht in de tweede helft van het jaar?
We verwachten dat aanvallen van IoT-botnets, ransomware en COVID-19-malware zullen blijven toenemen, hoewel ze zich in de tweede helft van het jaar zullen aanpassen. In het licht van toenemende en steeds veranderende bedreigingen is het belangrijk om te zorgen voor een hoge cyberweerbaarheid en snelle reactiemogelijkheden. Inbreuken op de beveiliging in verband met mensen, processen en technologie kunnen grote gevolgen hebben, vooral voor IT en OT in organisaties met steeds meer onderling verbonden IT-, OT- en IoT-systemen. Met de juiste technologie en een focus op beste praktijken kunnen zichtbaarheid en operationele veerkracht echter worden vergroot.
Vertaald uit het Engels met DeepL
Origineel door Alessandro Di Pinto, hoofd beveiligingsonderzoek bij Nozomi Networks.
Correctie en bewerking door Victor Rossner