Het aantal DDoS-aanvallen via het Internet of Things zal in 2017 toenemen. Voor cybercriminelen is het namelijk een koud kunstje om de schaalomvang van hun aanvallen te vergroten. Dat stelt IT-beveiliger Sophos in een onderzoek naar de belangrijkste trends voor het komende jaar.
Vooral het grote aantal IoT-apparaten met slecht onderhouden besturingssystemen en applicaties met kwetsbaarheden is hier debet aan. In 2016 gaf het Mirai-botnet blijk van het vernietigende potentieel van DDoS-aanvallen. Ze maakten gebruik van onveilige IoT (Internet of Things)-apparaten.
De cybercriminelen achter het Mirai-botnet hadden slechts een klein aantal apparaten en kwetsbaarheden nodig. In combinatie met basistechnieken voor het raden van wachtwoorden waren de aanvallen een koud kunstje.
Verschuiving
Er gaat een verschuiving plaatsvinden van exploits naar gerichte sociale aanvallen. Cybercriminelen worden steeds handiger in misbruik maken van de ultieme kwetsbaarheid: mensen. Ze proberen gebruikers ertoe over te halen zichzelf te laten besmetten.
Dat doen ze met steeds geavanceerdere en overtuigende gerichte aanvallen. Vaak gebruiken ze e-mailberichten die de ontvanger bij naam noemen en beweren dat deze een uitstaande schuld moet voldoen.
Schokeffect
Cybercriminelen brengen een schokeffect teweeg. Ze doen zich voor als autoriteit of geven zich uit als rechtshandhavers. Dit zijn veel voorkomende en uiterst effectieve tactieken. Deze e-mailberichten bevatten een kwaadaardige link waarop ontvangers in paniek kunnen klikken. Daarmee stellen ze zich bloot aan een cyberaanval. Vroeger waren dit soort phishing-berichten makkelijk te spotten vanwege de vele taalfouten. Inmiddels zijn ze bijna niet meer van echt te onderscheiden.
Financiële infrastructuren lopen komend jaar steeds meer kans op een cyberaanval. Gerichte phishing- en ‘whaling’-aanvallen blijven groeien. Deze aanvallen maken gebruik van gedetailleerde informatie over topmensen binnen bedrijven. Daarmee kun je werknemers overhalen om geld over te maken aan fraudeurs of om rekeninggegevens prijs te geven. Sophos verwacht dat er meer aanvallen zullen worden uitgevoerd op kritische financiële infrastructuren. Denk aan de aanval die in februari 2016 plaatsvond. Deze bracht de centrale bank van Bangladesh voor 81 miljoen dollar aan schade toe. Bij deze aanval waren met SWIFT verbonden instellingen betrokken.
Basisprotocollen
Het misbruik van de inherent onveilige infrastructuur van het internet zelf zal groeien. Alle internetgebruikers maken gebruik van basisprotocollen uit een ver verleden. Dit maakt het vrijwel onmogelijk om ze te moderniseren of vervangen. Ze vormden geruime tijd de ruggengraat van het internet en bedrijfsnetwerken. Sommige daarvan rammelen aan alle kanten. Zo zouden aanvallen op het BGP (Border Gateway Protocol) een groot deel van het internet kunnen verstoren, kapen of platleggen.
Zo werd in oktober via een groot netwerk van IoT-apparaten een DDoS-aanval uitgevoerd om Dyn. Daarmee werd deze DNS-provider uit de lucht gehaald. De toegang tot een groot deel van het internet viel weg. Dit was een van de grootste aanvallen tot dusver. De hackers die er de verantwoordelijkheid voor opeisten gaven aan dat dit nog maar een voorproefje was.
Grote internetproviders en bedrijven kunnen diverse maatregelen treffen om hier iets aan te doen. Deze maatregelen kunnen echter geen serieuze schade voorkomen. Zeker als kwaadwillende personen of overheden ervoor kiezen misbruik te maken van kwetsbaarheden die diep in het internet zijn ingebakken.
Steeds meer aanvallen maken komend jaar dan ook gebruik van ingebouwde beheertalen en -tools. Er is een toename van het aantal exploits dat gebruikmaakt van PowerShell. Dit is de programmeertaal van Microsoft voor het automatiseren van beheertaken. Deze scripttaal kan worden gebruikt om beveiligingsoplossingen te omzeilen die uitvoerbare bestanden inspecteren.
Verder groeit het aantal aanvallen dat gebruikmaakt van tools voor penetratietests. Ook beheertools die reeds binnen het netwerk aanwezig zijn, worden gebruikt Ze hoeven immers niet gehackt te worden.
Ransomware ontwikkelt zich
Het gebruik van ransomware ontwikkelt zich verder. Steeds meer gebruikers beginnen oog te krijgen voor de kans op ransomware-aanvallen via e-mail. Cybercriminelen gaan daarom op zoek naar andere aanvalskanalen. Een aantal van hen experimenteert momenteel met ransomware die lange tijd na het betalen van losgeld opnieuw toeslaat.
Andere hackers gebruiken ingebouwde tools en malware die niet de vorm hebben van uitvoerbare bestanden. Ze omzeilen oplossingen voor endpoint-beveiliging die zich op dergelijke ‘executables’ richten. Recente voorbeelden van ransomware boden aan om bestanden te ontsleutelen nadat het slachtoffer de ransomware had uitgewisseld met twee vrienden. Vervolgens moesten die vrienden betalen voor het ontsleutelen van hun bestanden.
Ontwikkelaars van ransomware beginnen nu ook gebruik te maken van andere technieken dan encryptie. Zo kunnen ze e-mailberichten verwijderen of headers van bestanden manipuleren. Verder is het ook nog mogelijk dat gebruikers worden getroffen door ‘oude’ ransomware. Daarvoor kunnen ze geen losgeld meer betalen omdat de opgegeven betalingslocaties niet langer werken.
Encryptie
Nu encryptie op brede schaal wordt ingezet, wordt het steeds moeilijker voor beveiligingsproducten om dataverkeer te inspecteren. Dit maakt het eenvoudiger voor cybercriminelen om onopgemerkt de beveiliging te passeren. Vanzelfsprekend vinden cybercriminelen creatieve nieuwe manieren om misbruik te maken van encryptie. Beveiligingsoplossingen moeten zorgen dat incidenten snel gedetecteerd worden nadat code op endpoints is ontsleuteld.
