Wat heeft de shift naar thuiswerk, en dan vooral de snelheid van die shift, met onze security gedaan? We kregen het voorbije jaar een hele reeks rapporten over ons heen en vatten ze voor u samen.
Laten we maar meteen beginnen met covid-19, want daar had – en heeft – iedereen de mond van vol. Een en ander betekent ook dat phishingmails het nieuws hierrond gaan misbruiken om mensen in de val te lokken. Want wat mensen bezighoudt, daar klikken ze sneller op. Netwerkreus en beveiliger NTT ziet vanaf januari 2020 phishingmails verschijnen rond de ziekte. De extra hype, en de lockdowns, doen de hoeveelheid phishingmails stevig de hoogte in gaan. In de maand mei meldt Safe-on-Web zelfs een verdubbeling van de meldingen over verdachte mails. De trend is overigens nog lang niet gestopt, gezien Waals minister van Volksgezondheid in maart 2021 nog melding maakte van phishingmails, deze keer met valse uitnodigingen voor vaccinaties.
Thuiswerk = meer aanvallen
“Thuiswerk en toegang van op afstand zijn een versneller geweest voor veel beveiligingsproblemen”, zegt Stefaan Hinderyckx, senior vice president Security Europe NTT. “Iedereen naar huis sturen voor een jaar, betekent dat veel mensen op minder veilige netwerken en laptops werken dan dat ze op kantoor zouden doen.”
Zo ziet NTT dat 67% van alle aanvallen het voorbije jaar gericht waren op webapplicaties. ThinkPHP, een platform voor het bouwen van websites, is daarmee wereldwijd de meest aangevallen technologie, met zo’n 30% van alle aanvallen. In de Benelux loopt dat aantal zelfs op tot 62% van alle aanvallen, lezen we in het jaarrapport dat NTT schrijft op basis van data uit de eigen security operation centers (SOC’s), aangevuld met data uit een reeks andere bronnen.
“Veel organisaties hebben nu hun huiswerk gedaan als het gaan om beveiligen van infrastructuur en netwerk”, legt Hinderyckx uit, “maar apps, zeker degene die in-house zijn ontwikkeld, hebben vaak nog kwetsbaarheden. Ontwikkelaars focussen daar meestal op snelheid en bruikbaarheid, maar zijn niet altijd getraind om die veilig te maken.”
Financiën en industrie
Kijken we naar de vaakst voorkomende doelwitten, dan ziet NTT dat 62% van de aanvallen zich richt op drie sectoren: de financiële sector, de maakindustrie en de gezondheidszorg. Aanvallen op manufacturing gingen zo met bijna 300% de hoogte in. “Dat is historisch een van de segmenten die het minst beschermd is”, legt Hinderyckx uit. “Maar je ziet ook dat er daar een steeds grotere verwevenheid komt tussen delen van de supply chain. Men gaat meerdere bedrijven connecteren om virtuele supply-chains te creëren, wat tot nieuwe aanvalspatronen leidt zoals double ransomware. Daarbij kan je niet alleen je slachtoffer, maar ook de leveranciers van je slachtoffer gijzelen.”
Aanvallen op financiële bedrijven gingen dan weer met 50% de hoogte in. “Dat zijn de gekende phishing scams en de mailtjes waarin je gevraagd wordt je bank te bellen, alleen is dat niet je bank die je belt. Die aanvallen worden steeds gesofisticeerder, en weten soms mensen te verleiden die niet erg digitaal alert zijn om geld over te maken aan de aanvallers”, zegt Hinderyckx.
Klappen voor de zorg
En dan is er nog de gezondheidszorg, die het op meerdere manieren moeilijk kreeg. Opvallend hier is dat aanvallen op medische infrastructuur in 2020 meer dan verdubbelden. “Denk daarbij ook aan producenten van vaccins”, zegt Hinderyckx. “We hebben daar gedocumenteerde aanvallen van natiestaten die probeerden documenten te bemachtigen. Covid-19 is daar een belangrijke driver.”
Zo zien we in november vorig jaar dat Britse vaccinontwikkelaar AstraZeneca doelwit wordt van Noord-Koreaanse cyberaanvallen. Volgens nieuwsagentschap Reuters zijn de aanvallen weliswaar mislukt. Nog in november waarschuwt Microsoft dat een zevental organisaties zijn aangevallen die betrokken zijn bij het ontwikkelen van een coronavaccin. Ook hier worden Noord-Koreaanse groepen genoemd, maar ook de hackersgroep Fancy Bear, die gelinkt wordt aan de Russische inlichtingendienst.
Een maand later is het prijs bij het Europees Geneesmiddelenbureau (EMA), waarbij klaarblijkelijk aanvallers documenten kunnen inkijken over het coronavaccin van Pfizer en BioNTech. In januari van dit jaar wordt dan het computernetwerk van het Algemeen Medisch Labo in Antwerpen gehackt, met de blokkering van duizenden coronatesten tot gevolg.
Tragischer zijn de aanvallen op ziekenhuizen. In september en oktober raast een reeks ransomware-aanvallen met de RYUK malware door Amerikaanse hospitalen. Honderden ziekenhuizen zouden daarbij plat gaan. Januari 2021 gaat het ziekenhuiscentrum ChWapi in Doornik een tijdlang dicht na een cyberaanval. Het is een trend, schrijft ook Check Point Research in een rapport. Volgens de security-onderzoekers is het aantal aanvallen op medische organisaties vorig jaar dubbel zo snel gestegen als in andere sectoren. Het idee daarachter is dat ziekenhuizen zich, zeker in deze tijden, niet kunnen permitteren om lange tijd plat te liggen, en dat ze dus sneller het gevraagde losgeld zullen betalen.
Goudkoorts
Criminelen willen zo veel mogelijk geld verdienen met zo weinig mogelijk moeite. Dat credo geldt al jaren, en voor degenen die moreel iets minder corrupt zijn dan ‘val een ziekenhuis aan’ betekent dat coin miners. Nu de prijs van cryptomunten weer stevig de hoogte in is gegaan, is het delven van bijvoorbeeld monero, een van de populairder digitale munten bij malware, een lucratieve activiteit. Bovendien is het weghalen van deze malware voor veel organisaties geen prioriteit, omdat ze wat CPU kosten en verder geen hele organisatie plat leggen, merkt Hinderyckx op.
In totaal maakte cryptomalware 41% uit van alle malware die vorig jaar door NTT werd gevonden en 71% van alle malware in EMEA. Een specifieke malware, XMRig, is daarbij het meest prominent en is in onze regio voor elk land de meest gedetecteerde malware.
DDoS, terug van nooit weggeweest
Ook het aantal DDoS-aanvallen steeg het voorbije jaar, schrijft dan weer beveiliger Kaspersky. In het eerste kwartaal van 2020 zelfs met 80%. Een groot deel daarvan werd richting schoolplatformen gestuurd, maar het valt op dat ook een reeks netwerken slachtoffer worden van erg grote aanvallen.
In augustus ondervindt alternatieve provider edpnet bijvoorbeeld problemen door een grootschalige DDoS-aanval. Het bedrijf krijgt momenteel meer dan 100 Gbps aan trafiek toegestuurd, afkomstig van vijftigduizend IP-adressen.
En dan is er nog Belnet. Het netwerk waar een hele reeks Belgische overheidssites van afhangen wordt in mei van dit jaar aangevallen vanuit 257.000 IP-adressen in 29 landen. Daarbij worden zowel Belnet als de netwerken van Telenet en Proximus geviseerd.
Fout opgemerkt of meer nieuws? Meld het hier