Targeted attack-trends van 2014

Target

In 2014 zagen we een verdere verfijning in methoden voor targeted-aanvallen. Dat blijkt uit het onderzoek dat Trend Labs, het onderzoeksbureau van Trend Micro, uitvoerde naar targeted attacks in 2014. Naarmate meer organisaties Windows-upgrades uitvoerden naar nieuwere versies, was er in verschillende campagnes een toename waar te nemen in het gebruik van 64-bit malware. Voorbeelden van 64-bit malware zijn Havex, een remote access Trojan (RAT) die werd gebruikt in een campagne gericht op industrial control systems (ICS) en WIPALL, de beruchte malware achter de Sony Pictures hack. De overstap naar nieuwere versies van Windows leidde ook tot misbruik van legitieme tools in aanvallen.  

Volgens Trend Micro cybersecurity officer, Tom Kellermann worden steeds destructievere aanvallen gebruikt. In 2013 kwamen enkele van de grootste aanvallen vanuit de Verenigde Staten, Noord-Korea, Rusland, China, Vietnam en India. In 2014 kwamen enkele uit Syrië, Iran, het Verenigd Koninkrijk en Frankrijk.

E-mailbijlage
Uit analyse van de beschikbare gegevens bleek dat .RTF- en .DOC-bestanden de twee meest gebruikte e-mailbijlagen waren bij een gerichte aanval, waarschijnlijk omdat Microsoft Word in vrijwel elke organisatie wordt gebruikt.

2014-attack-trends-1

 Figure 1. Most frequently used email attachment file types in targeted attacks in 2014

Zeer gerichte configuraties hebben aanvallers niet direct tegengehouden
Afgezien van het richten op commerciële en populaire software en tools, lanceerden criminelen ook aanvallen met behulp van zeer specifieke applicaties en besturingssystemen. Ook Apple-apparaten waren een doelwit voor infiltratie in het netwerk en andere spionagedoeleinden, zoals in Operation Pawn Storm.

Nieuwe technieken
In 2014 werden er tevens nieuwe technieken waargenomen. Deze speelden in op het misbruiken van legitieme tools zoals Windows PowerShell en cloud storage-platformen zoals Dropbox. Tevens kwam malware, die specifiek draait op 64-bit systemen, steeds vaker voor.

Gerichte aanvallen een wereldwijd probleem
Overheidsinstellingen waren veruit het meest favoriete doelwit in 2014. In de tweede helft van het jaar was er een piek in het aantal aanvallen gericht op hardware- en software-bedrijven, fabrikanten van consumentenelektronica en zorgverleners. Australië, Brazilië, China, Egypte en Duitsland zijn de landen waar de meeste targeted attacks C&C servers zijn gehost. Dat wil echter niet zeggen dat aanvallers hier ook daadwerkelijk vandaan komen. C&C servers kunnen namelijk op afstand worden benaderd.

Per industry

Per industry 2

 

2014-attack-trends-2a

Figure 2. Top countries that communicated with targeted attack C&C servers in 2014

 

 

 

 

 

 

 

 

 

 

Gelet op de toename van het volume van gerichte aanvallen, het gemak van het opstellen ervan, en de moeilijkheid om hier bescherming tegen te bieden, moet er een verandering ontstaan in de mentaliteit: van preventie naar detectie. Dat betekent ook dat je zult moeten accepteren dat een gerichte aanval uiteindelijk je netwerk zal raken. Je mag er niet meer vanuit gaan dat een hele suite aan blacklisting-technologieën in staat is deze dreigingen op afstand te houden. Het inzetten van threat intelligence is cruciaal in de strijd tegen gerichte aanvallen. Kennis van de tools, tactieken en manieren die cybercriminelen gebruiken, zowel op basis van extern onderzoek als interne monitoring, kan dienen als sterke basis. Toch moeten organisaties zich niet beperken tot alleen de kennis van deze aanvallen. Het oprichten en aanstellen van teams en het trainen van medewerkers, partners en leveranciers rondom social engineering en beveiliging kan ook helpen om de risico’s van een gerichte aanval te beperken.

Lees hier de Engelstalige blogpost over targeted attack-trends van 2014 of bekijk hier het volledige rapport

 

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.