Rapport Check Point : cybercriminelen plegen in alle sectoren COVID-19-gerelateerde aanvallen

Check Point Software Technologies Ltd. (NASDAQ: CHKP), wereldwijd toonaangevende leverancier van cyberbeveiligingsoplossingen, heeft zijn ‘Cyber Attack Trends: 2020 Mid-Year Report’ uitgebracht. Dit rapport laat zien hoe criminele, politieke en nationale bedreigingsactoren de COVID-19-pandemie en gerelateerde thema’s hebben benut om organisaties in alle sectoren, waaronder overheden, industriële bedrijven, gezondheidszorg, dienstverleners, kritieke infrastructuur en consumenten, te treffen.

200.000 aanvallen per week
COVID-19 gerelateerde phishing- en malware-aanvallen zijn in de eerste helft van het jaar drastisch toegenomen: van minder dan 5.000 per week in februari tot meer dan 200.000 per week eind april. In mei en juni, toen landen hun lockdown maatregelen begonnen te versoepelen, verhoogden cybercriminelen ook hun niet-COVID-19-gerelateerde activiteiten. Dit resulteerde eind juni in een toename van maar liefst 34% van alle soorten cyberaanvallen wereldwijd (in vergelijking met maart en april).

Vier trends
De belangrijkste trends die uit het rapport zijn onder meer:

  • De cyberoorlog escaleert: De intensiteit en de ernst van cyberaanvallen in de eerste helft van het jaar namen sterk toe. Onder meer omdat landen informatie probeerden te verzamelen over hoe rivaliserende/vijandige landen de pandemie aanpakten of hun aanpak probeerden te verstoren. Dit trof ook organisaties in de gezondheidszorg en de humanitaire sector, zoals de WHO, die een toename van 500% van het aantal aanvallen rapporteerde.
  • Double-extortion aanvallen: In 2020 is er een nieuwe vorm van ransomware-aanvallen ontstaan. Hierbij downloaden de aanvallers grote hoeveelheden data voordat ze deze versleutelen. Slachtoffers die het losgeld weigeren te betalen, worden vervolgens bedreigd met het openbaar maken van de data, waardoor ze extra onder druk komen te staan om toch aan de eisen van de criminelen te voldoen.
  • Mobile exploits: Hackers zijn op zoek naar nieuwe mobiele infectievectoren waarmee ze hun technieken verbeteren om de beveiliging te omzeilen en kwaadaardige apps in officiële app stores te plaatsen. Bij een andere innovatieve aanval gebruikten hackers het Mobile Device Management (MDM)-systeem van een groot internationaal bedrijf om malware te verspreiden naar meer dan 75% van de beheerde mobiele apparaten.
  • Cloud exposure: Tijdens de pandemie maakten veel organisaties snel de overstap naar de public cloud. Dit heeft geleid tot een toename van aanvallen gericht op gevoelige workloads en data in de cloud. Cybercriminelen maken ook gebruik van cloudinfrastructuur om de schadelijke payloads die worden gebruikt bij hun malware-aanvallen op te slaan. Zo vonden de onderzoekers van Check Point in januari in Microsoft Azure een eerste kritische kwetsbaarheid die hackers in staat zou hebben gesteld data en apps van andere Azure-gebruikers te compromitteren, wat aantoont dat public clouds niet inherent veilig zijn.

“De wereldwijde reactie op de pandemie heeft de business-as-usual-aanvalsmodellen van cybercriminelen tijdens de eerste helft van dit jaar getransformeerd en versneld, waarbij de angst rond COVID-19 werd benut als dekmantel voor hun activiteiten. We hebben ook grote nieuwe kwetsbaarheden en aanvalsvectoren zien ontstaan, die de veiligheid van organisaties in elke sector bedreigen”, aldus Maya Horowitz, Director, Threat Intelligence & Research, Products bij Check Point. “Beveiligingsexperts moeten op de hoogte zijn van deze snel evoluerende bedreigingen, zodat ze ervoor kunnen zorgen dat hun organisaties gedurende de rest van 2020 zo goed mogelijk beschermd zijn.”

De meest voorkomende malware-varianten tijdens H1 2020 waren:

Top malware in H1 2020

Emotet (impact op 9% van de organisaties wereldwijd) is een geavanceerde botnet. Het gebruikt meerdere methoden en technieken om niet gedetecteerd te worden. Daarnaast kan het worden verspreid via phishing-spammails met kwaadaardige bijlagen of links.
XMRig (8%) is open-source CPU-miningsoftware die wordt gebruikt om de Monero-cryptocurrency te minen. Hackers maken vaak misbruik van deze software door deze te integreren in hun malware om illegale cryptomining uit te voeren via de apparaten van de slachtoffers.Agent Tesla (7%), actief sinds 2014, is een geavanceerde remote access trojan (RAT) die kan worden ingezet als keylogger of om wachtwoorden te stelen.
Agent Tesla kan monitoren en verzamelen wat via het toetsenbord wordt ingevoerd en kan het systeemklembord van het slachtoffer monitoren. Het kan ook registreren welke screenshots je neemt en de inloggegevens van verschillende applicaties exfiltreren (waaronder Google Chrome, Mozilla Firefox en Microsoft Outlook e-mailclient).

Top cryptominers tijdens H1 2020

XMRig (goed voor 46% van alle cryptomining-activiteiten wereldwijd) is een open-source CPU-miningsoftware die wordt gebruikt voor de Monero cryptocurrency, en voor het eerst in mei 2017 werd gezien.
Jsecoin (28%) is een webgebaseerde cryptominer, ontworpen om ongeautoriseerde online mining van Monero cryptocurrency uit te voeren wanneer een gebruiker een bepaalde webpagina bezoekt. JSEcoin is in april 2020 gestopt met zijn activiteiten.
Wannamine (6%) is een geavanceerde cryptomine-worm (Monero) die de EternalBlue exploit verspreidt.

Top mobiele malware tijdens H1 2020

xHelper (verantwoordelijk voor 24% van alle mobiele malware-aanvallen) is een Android-malware die zowel andere kwaadaardige toepassingen kan downloaden als kwaadaardige advertenties kan weergeven. Het is een hardnekkig virus dat zichzelf opnieuw kan installeren, zelfs als het door het slachtoffer wordt verwijderd. xHelper heeft meer dan 45.000 apparaten geïnfecteerd.
PreAMo (19%) is een clicker-malware voor Android-toestellen die inkomsten genereert door de gebruiker na te bootsen en op advertenties te klikken zonder dat de gebruiker dit weet. De malware werd ontdekt op Google Play en werd meer dan 90 miljoen keer gedownload in zes verschillende mobiele applicaties.
Necro (14%) is een Android Trojan Dropper. Het kan andere malware downloaden, opdringerige advertenties tonen en frauduleus kosten in rekening brengen voor betaalde abonnementen.

Top bankiersmalware tijdens H1 2020

Dridex (verantwoordelijk voor 27% van alle malware-aanvallen op banken) is een Banking Trojan die zich richt op Windows pc’s. Het komt binnen via spamcampagnes en Exploit Kits, en vertrouwt op WebInjects om bankgegevens te onderscheppen en door te sturen naar een server die door een aanvaller wordt bestuurd. Dridex checkt een externe server, stuurt informatie over het geïnfecteerde systeem door en kan ook extra modules downloaden om het systeem op afstand te controleren.
Trickbot (20%) is een modulaire Banking Trojan (voor het Windows-platform) en komt meestal binnen via spamcampagnes of andere malwarefamilies zoals Emotet.Ramnit (15%) is een modulaire Banking Trojan.
Ramnit steelt websessie-informatie, waardoor zijn operatoren de mogelijkheid hebben om accountgegevens te stelen van alle diensten die het slachtoffer gebruikt, inclusief bankrekeningen en bedrijfs- en sociale netwerkaccounts.

Het ‘Cyber Attack Trends: 2020 Mid-Year Report’ geeft een gedetailleerd overzicht van het cyberbedreigingslandschap. Deze bevindingen zijn gebaseerd op data van Check Point ThreatCloud Intelligence (tussen januari en juni 2020), waarbij de belangrijkste tactieken die cybercriminelen gebruiken om bedrijven aan te vallen, worden belicht.

 

Gerelateerde berichten...