FortiGuard: 50% toename van verwoestende wiper-aanvallen

Fortinet publiceert vandaag een nieuwe editie van zijn halfjaarlijkse Global Threat Landscape Report van FortiGuard Labs. Het bedreiging landschap en het aanvals oppervlak van organisaties veranderen voortdurend. Cybercriminelen passen hun technieken daar steevast op aan. Dit stelt bedrijven van elke omvang in elke sector en regio voor serieuze risico’s.

Belangrijke onderzoeksbevindingen voor de tweede helft van 2022 zijn:

• De grootschalige verspreiding van wiper-malware wijst erop dat cyberaanvallen een steeds verwoestender karakter krijgen.
• De bedreiging van ransomware blijft wereldwijd op piekniveau. Er zijn geen tekenen die op een afzwakking van deze trend wijzen. Er komen voortdurend nieuwe varianten bij die met Ransomware-as-a-Service (RaaS) zijn ontwikkeld.
• De vaakst geobserveerde malware was meer dan een jaar oud, maar bleek ingrijpende aanpassingen te hebben ondergaan. Dit wijst op de doeltreffendheid en kostenefficiëntie die het hergebruik van code cybercriminelen te bieden heeft.
• Organisaties in alle sectoren en regio’s blijven kampen met de kwetsbaarheid Log4j, die grif door cybercriminelen wordt misbruikt. Dat geldt in het bijzonder voor de IT-wereld, de overheidssector en het onderwijs.

Verwoestende wiper-malware verspreidde zich in 2022 als een olievlek

Een analyse van onderzoeksdata over wiper-malware wijst op een nieuwe trend: cybercriminelen blijken keer op keer verwoestende aanvalstechnieken tegen hun doelwitten in te zetten. Cybercriminelen kunnen dit soort aanvallen eenvoudig opschalen. Vaak doen ze daarvoor een beroep op het Cybercrime-as-a-Service (CaaS)-model.

FortiGuard Labs wees in het begin van 2022 op de komst van diverse nieuwe wipers. Dit viel samen met de oorlog tussen Rusland en Oekraïne. Later dat jaar breidde de wiper-malware zich naar andere landen uit. Dit zorgde alleen al van het derde op het vierde kwartaal voor een toename van wiper-activiteit met 53%. Een deel van deze malware is mogelijk door staatshackers ontwikkeld in verband met de oorlog. Deze malware is echter opgepikt door cybercriminele groeperingen die de wipers nu ook buiten Europa inzetten. Afgaande op de detecties in het vierde kwartaal van 2022 vertoont de trend van verwoestende wiper-malware helaas geen teken van afzwakking. Elke organisatie is een doelwit, ook als die zich buiten Oekraïne of de omliggende landen bevindt.

De ontwikkeling van het aantal aanvallen met wiper-malware in 2022

Financieel gemotiveerde cybercriminaliteit en ransomware blijven pieken
Uit de werkzaamheden die het Incident Response (IR)-team van FortiGuard Labs namens klanten uitvoerde bleek dat financieel gemotiveerde cybercriminaliteit goed was voor het grootste percentage beveiligingsincidenten (73,9%), op grote afstand gevolgd door cyberspionage (13%). In heel 2022 maakte 82% van alle financieel gemotiveerde cyberaanvallen gebruik van ransomware of kwaadaardige scripts. Hieruit blijkt dat de wereldwijde bedreiging van ransomware onverminderd van kracht blijft. Dit is het gevolg van de toenemende populariteit van Ransomware-as-a-Service (RaaS) op het dark web.

Het ransomware-volume steeg vanaf de eerste helft van 2022 met maar liefst 16%. Van de in totaal 99 gedetecteerde ransomware-families was de top vijf goed voor zo’n 37% van alle activiteit in de tweede helft van het jaar. De RaaS-malware GandCrab, die in 2018 op het toneel verscheen, prijkte bovenaan de lijst. Hoewel de makers van GandCrab na het buitmaken van ruim 2 miljard dollar aankondigden met pensioen te gaan, zagen diverse nieuwe versies van GandCrab het licht. Mogelijk is dit een nasleep is van hun activiteiten of is de code door andere cybercriminelen gewijzigd en in een nieuwe vorm de wereld ingestuurd. Deze ontwikkeling wijst op het belang om permanent een halt toe te roepen aan de activiteiten van cybercriminelen. Een effectieve ontmanteling van hun toevoerketens vraagt om een collectieve wereldwijde inspanning, hechte en betrouwbare relaties en sectoroverstijgende samenwerking.

Cybercriminelen tonen hun vindingrijkheid met het hergebruik van code

Cybercriminelen zijn ondernemend ingesteld. Ze zijn voortdurend op zoek naar manieren om optimaal gebruik te maken van hun bestaande investeringen en kennis en hun aanvallen effectiever en winstgevender te maken. Het hergebruik van code biedt hen een efficiënte en lucratieve manier om verder te bouwen op eerdere successen. Met elke nieuwe versie verfijnen zij hun cyberaanvallen, zodat ze beveiligingsmechanismen steeds beter kunnen omzeilen.

Uit een analyse van FortiGuard Labs bleek de meest actieve malware in de tweede helft van 2022 meer dan een jaar oud te zijn. Ze vinden hun oorsprong meer dan tien jaar geleden. FortiGuard Labs analyseerde daarnaast diverse varianten van Emotet op het lenen en hergebruik van code. Hieruit bleek dat deze malware ingrijpende aanpassingen heeft ondergaan. De nieuwe varianten kunnen grofweg worden onderverdeeld in zes verschillende malware-categorieën. Cybercriminelen leggen zich niet alleen toe op het automatiseren van cyberdreigingen, maar moderniseren ook actief de broncode om hun effectiviteit te vergroten.

De heropleving van oudere botnets toont de veerkracht van cybercriminele toevoerketens

Cybercriminelen maken ook gebruik van bestaande infrastructuren en oudere cyberbedreigingen om hun slagingskansen te vergroten. Een analyse van botnet-bedreigingen op activiteit door FortiGuard Labs wijst uit dat de meest voorkomende botnets allesbehalve nieuw zijn. Zo maakte het botnet Morto, dat in 2011 voor het eerst werd geobserveerd, een spectaculaire comeback aan het einde van 2022. En ondertussen blijven botnets zoals Mirai en Gh0st.Rat in alle regio’s bijzonder actief. Verrassend genoeg is RotaJakiro het enige van de vijf meest actieve botnets dat dit decennium het licht zag.

Hoewel het verleidelijk is om oudere cyberbedreigingen af te schrijven, is het belangrijk voor organisaties in elke sector om waakzaam te blijven. Er is namelijk een reden waarom deze ‘vintage’ botnets nog altijd op grote schaal actief zijn: ze blijven bijzonder effectief. Vindingrijke cybercriminelen zullen steeds veerkrachtiger versies van bestaande botnet-infrastructuren ontwikkelen met behulp van uiterst specialistische technieken. Dat doen ze omdat ze weten dat ze een rendement op hun investering kunnen boeken. In de tweede helft van 2022 waren managed security service providers (MSSP’s), spelers in de telecomsector en industriële bedrijven de belangrijkste doelwitten van Mirai. Deze botnet staat bekend om zijn focus op operationele technologie (OT). Cybercriminelen bestoken deze organisaties gericht met beproefde aanvalstechnieken.

Log4j blijft op grote schaal aanwezig en wordt actief door cybercriminelen benut

Ondanks alle media-aandacht die in 2021 en het begin van 2022 uitging naar de kwetsbaarheid Log4j heeft een significant aantal organisaties daar nog altijd geen patches voor geïnstalleerd of passende beveiligingsmechanismen voor ingericht.

In de tweede helft van 2022 bleef er in alle regio’s sprake van een bijzonder groot aantal Log4j-exploits. FortiGuard labs merkt op dat 41% van alle organisaties de Log4j-activiteit detecteerde. Daarmee blijkt hoe wijdverspreid deze kwetsbaarheid blijft. Dat geldt voor de IT-wereld, de overheidssector en het onderwijs. En dat zou geen verbazing moeten wekken gezien de populariteit van de open source-software Apache Log4j in deze sectoren.