Vorige week verscheen het 'Eset Threat Report' over het eerste trimester van 2022. Het Threat Report omvat belangrijke statistieken en trends over het huidige dreigingslandschap op basis van detectiesystemen en digital securityonderzoek. De nieuwste uitgave van het Threat Report geeft een overzicht van de verschillende cyberaanvallen in verband met de aanhoudende oorlog in Oekraïne die onderzoekers analyseerden of hielpen te beperken, waaronder de wederopstanding van de beruchte Industroyer malware, die probeerde hoogspanningsstations aan te vallen.
Veranderingen dreigingslandschap
Telemetrie registreerde ook andere veranderingen in het dreigingslandschap op het gebied van cyberbedreigingen die een verband zouden kunnen hebben met de situatie in Oekraïne. Roman Ková?, Chief Research Officer bij Eset, verduidelijkt waarom dit rapport zo gefocust is op cyberdreigingen die verband houden met deze oorlog: "In verschillende delen van de wereld woeden verschillende conflicten, maar voor ons is dit een ander conflict. Vlak over de oostelijke grenzen van Slowakije, waar Eset zijn hoofdkwartier en verschillende kantoren heeft, vechten Oekraïners voor hun leven en soevereiniteit."
Kort voor de Russische invasie registreerde de telemetrie een scherpe daling in Remote Desktop Protocol (RDP) aanvallen. De daling van deze aanvallen komt na twee jaar van constante groei - en zoals uitgelegd in de Exploits sectie van het laatste Threat Report, zou deze wending van gebeurtenissen te maken kunnen hebben met de oorlog in Oekraïne. Maar zelfs met deze daling, is bijna 60% van de inkomende RDP aanvallen die in T1 2022 werden gezien, afkomstig uit Rusland.
Rusland voornaamste doelwit
Een ander neveneffect van de oorlog: Rusland was in T1 2022 volgens de telemetrie het voornaamste doelwit, terwijl in het verleden ransomware groeperingen de neiging hadden doelwitten in Rusland te vermijden. Onderzoekers ontdekten zelfs lock-screen varianten met de Oekraïense nationale groet "Slava Ukraini!" (Glorie aan Oekraïne!). Sinds de Russische invasie in Oekraïne is er een toename van het aantal amateuristische ransomware- en wiper-aanvallen. De auteurs van deze aanvallen betuigen vaak hun steun aan een van de strijdende partijen en positioneren de aanvallen als een persoonlijke vendetta. Het is geen verrassing dat de oorlog ook zichtbaar wordt uitgebuit door spam en phishing. Onmiddellijk na de invasie op 24 februari begonnen oplichters misbruik te maken van mensen die Oekraïne probeerden te steunen, door fictieve liefdadigheidsinstellingen en fondsenwervingsacties als lokmiddel te gebruiken. De telemetrie zag direct een piek aan spam detecties.
Digitale wendbaarheid belangrijk
Dave Maasland, CEO van Eset Nederland, licht de ontwikkelingen toe: “De veranderingen in het dreigingslandschap laten nog maar eens zien hoe belangrijk digitale wendbaarheid is. Vooral bedrijven die op internationaal gebied actief zijn doen er goed aan om opnieuw hun risicoprofiel te bekijken. Maar in veranderende tijden moet het doorvoeren van een goede digitale hygiëne een absolute topprioriteit zijn. De focus lijkt nu minder gericht op Nederland, maar we zijn zeker niet af van cyberdreigingen zoals ransomware en brute-force RDP-aanvallen. Het volgen van deze veranderingen en ontwikkelingen en hierop kunnen acteren is belangrijker dan ooit.”
Andere dreigingen
Naast de dreigingsinformatie met betrekking tot de oorlog in Oekraïne gaat het Threat Report ook in op andere dreigingen, waaronder de opleving van het Emotet botnet. Zoals eerder bekendgemaakt namen de detecties van dit botnet in Nederland in het eerste trimester van dit jaar toe met maar liefst 3900%. Verder geeft het Threat Report ook een overzicht van de belangrijkste onderzoeksresultaten, waaronder: misbruik van kwetsbaarheden in kerneldrivers; UEFI-kwetsbaarheden met een grote impact; cryptocurrency-malware gericht op Android- en iOS-apparaten; een nog niet geattribueerde campagne waarbij de DazzleSpy macOS-malware werd ingezet; en de campagnes van verschillende ransomware en APT-groepen zoals TA410. Het rapport wordt afgesloten met een overzicht van geplande presentaties door de onderzoekers. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Over de cyberoorlog in Oekraïne
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer cybercrime nieuws
Stelling: Het gebruik van wachtwoorden is een verouderde beveiligingstechniek die zijn langste tijd heeft gehad
Iedere seconde vinden er ergens ter wereld wel nieuwe pogingen plaats van cybercriminelen om websites, diensten, bedrijven of consumenten te hacken. Niet geheel onverwachts is er dus ook een toenemende kans op gelekte wachtwoorden, waardoor cybercriminelen eenvoudig toegang tot bedrijfsgegevens krijgen, aldus Beyond Identity, een leverancier van wachtwoordloze oplossingen voor identiteitsbeheer. Vorige maand meldde CyberNews dat er een bestand met de naam 'RockYou2021.txt' op een populair hackersforum is gezet. Daarbij gaat het om een verzameling van 8,4 miljard wereldwijd gelekte wachtwoorden. Ook in Nederland is het lekken van wachtwoorden schering en inslag.
De belangrijkste cyberdreigingen voor Industrial Control Systems
Het beveiligen van industriële beheersystemen (Industrial Control Systems / ICS) is van vitaal belang. Onder meer de beveiliging van endpoints, de systemen waarop eindgebruikers vertrouwen, moet hierbij voldoende krijgen. In een rapport waarschuwt Trend Micro voor de risico’s en zet de belangrijkste dreigingen op een rijtje.
10 jaar Cybersecuritybeeld Nederland: basis beveiligingsmaatregelen nog altijd niet op orde
Al tien jaar publiceert de overheid het Cybersecuritybeeld Nederland (CSBN) waarin cyberdreigingen en de kwetsbaarheid van de Nederlandse digitale infrastructuur centraal staan. De boodschap is al die tijd nagenoeg niet veranderd, en dat is dat organisaties basale beveiligingsmaatregelen nog altijd niet op orde hebben. Er ontstaat echter een kloof tussen bedrijven die wel en niet digitaal weerbaar zijn, zo laat de Nationaal Coördinator Terrorismebestrijding (NCTV) weten.
"Het vormt een enorme bedreiging voor de samenleving"
Steeds minder mensen zijn slachtoffer van een misdrijf en de meeste criminaliteitscijfers dalen al jaren. Er is één grote uitzondering: cybercrime. "Het vormt een enorme bedreiging voor de samenleving."
De grootste cyberaanvallen van 2021
De afgelopen jaren is het moeilijk geworden om het feit te negeren dat het digitale leven waar we allemaal deel van uitmaken volledig kwetsbaar is voor cybercriminelen. Hackers zijn blij met bijna elke mogelijkheid om geld te verdienen of plezier te hebben - van het creëren van een gratis lidmaatschap van een sportschool voor hun hele gezin tot het hacken van energiesystemen van hele landen.
De meest voorkomende soorten cyberaanvallen in 2021
Het aantal cyberincidenten in 2021 is beangstigend, ook al zijn er pas zes maanden verstreken. Inbreken in een waterleidingnet in Florida en proberen het water te vergiftigen voor 15.000 inwoners. Een cyberaanval op het kanaal 9News Australia heeft ochtendshows geannuleerd. Een ransomware-aanval veroorzaakte de sluiting van de grootste brandstofpijpleiding in de VS en kostte $ 5 miljoen. En dat is slechts een deel van het droevige nieuws voor nu.
"Onverantwoorde en destabiliserende gedrag in cyberspace"
De Europese Unie en de Verenigde Staten zeggen dat Chinese staatshackers cyberaanvallen hebben uitgevoerd door misbruik te maken van kwetsbaarheden in Microsoft Exchange Server. Daarmee hebben ze de economie, democratie en samenleving ernstige schade toegebracht. Ze zeggen er alles aan te doen om samen met internationale partners ‘kwaadaardig gedrag in cyberspace’ te bestrijden.
Cyberweerbaarheid verhogen op 'automatiserings- en control systemen' met de 'Security Checker'
Een publiek-privaat samenwerkingsverband introduceerde afgelopen maandag de 'Security Check Procesautomatisering'. Dit is een interactieve zelfscan die is ontwikkeld om Nederlandse organisaties met ICS-SCADA systemen handvatten te bieden in het weerbaarder maken van deze systemen. Het samenwerkingscollectief presenteert de tool aan Hester Somsen, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en aan Jos de Groot, directeur van de Directie Digitale Economie van het ministerie van Economische Zaken en Klimaat.
Onderhandeling tussen slachtoffer en cybercriminelen van REvil
Terwijl computeranalisten van over de hele wereld hun vaardigheden ter beschikking stellen voor de gemeenschap, heeft REvil de afgelopen dagen geprobeerd rechtstreeks zaken te doen met enkele van hun slachtoffers.
Wereldwijde ransomware aanval: hackers ontsleutelen voor $50 miljoen
Vrijdag 2 juli werden bedrijven wereldwijd getroffen door een ransomware-aanval. De aanvallers claimen meer dan een miljoen computers te hebben versleuteld en eisen 70 miljoen dollar voor een generieke decryptietool waarmee alle slachtoffers hun bestanden kunnen ontsleutelen. De exacte aanvalsvector was eerst nog onbekend, maar alles wees al snel naar het programma VSA van softwarebedrijf Kaseya. Managed serviceproviders (MSP's) gebruiken deze software om de systemen van hun klanten op afstand te beheren. In dit artikel geeft 'Security' een overzicht van de aanval en de laatste ontwikkelingen. Het artikel zal dan ook steeds worden bijgewerkt.
Kwetsbaarheden bij ziekenhuizen en GGD
Twee weken geleden hadden we het over de kwetsbaarheden bij overheidswebsites, maar hoe zit het eigenlijk bij ziekenhuizen?
"De Nederlandse politie heeft voortdurend een belangrijke rol in dit soort internationale onderzoeken"
Door een grootschalige en internationaal gecoördineerde actie zijn politie-eenheden uit diverse landen erin geslaagd om de VPN-provider DoubleVPN offline te halen. Politiediensten uit onder meer Duitsland, het Verenigd Koninkrijk, Canada en de Verenigde Staten zeggen dat hackers en cybercriminelen de VPN-service gebruikten om ransomware-aanvallen en andere digitale misdrijven uit te voeren. Nu de gehele infrastructuur van DoubleVPN platligt, is het criminele circuit een gevoelige klap toegebracht.