Het dreigingslandschap van 2019
In 2019 zagen we een aanzienlijke toename van het aantal blootgestelde containers die kwetsbaar waren voor aanvallen. We verwachten dat we in 2020 continu meer gevallen van blootgestelde containers zullen zien die risico's voor ondernemingen opleveren. Ook blijft de manier waarop bedrijven in de cloud worden aangevallen zich ontwikkelen aangezien meer organisaties de technologie zullen gaan gebruiken. Zelfs als de containers niet worden blootgesteld aan zwakke punten waar anderen van kunnen profiteren, kunnen de systemen nog steeds last hebben van kwetsbaarheden zoals traditionele software en besturingssystemen.
De trend van kwetsbaarheden in cloudsoftware en apps is iets dat zal blijven toenemen. Een voorbeeld hiervan is de Unit 42 ontdekking van de eerste cryptojacking-worm die wordt verspreid met containers in de Docker Engine (Community Edition).
Bovendien verwachten we dat ransomware-aanvallen in 2020 zullen doorgaan en mogelijk zelfs verergeren, omdat we in 2019 een toenemend aantal bedreigingsactoren zagen die niet alleen ransomware en ransomware-as-a-service verkopen, maar ook zelfstudies over ransomware maken. Vorig jaar voorspelden we een toename van post-intrusion ransomware om hele bedrijven te verstoren, specifiek om te leiden tot veel grotere losgeldbedragen. Gedurende het jaar hebben we de LockerGoga-malwarefamilie gedocumenteerd, die vooral in Europa indruk maakte.
Onderzoekers van Unit 42 hebben ook ruwweg 10.700 unieke, verkregen malwarevoorbeelden geschreven in Go en wij hebben in juli vastgesteld - op basis van tijdstempels - dat Go-gecompileerde malware in 2019 een aantal maanden gestaag was toegenomen. Bovendien was 92% van de geïdentificeerde voorbeelden samengesteld voor het Windows-besturingssysteem, wat aangeeft dat dit het meest doelgerichte systeem is door Go-malwareontwikkelaars. Hoewel Go-malware nog geen significante belangstelling heeft gekregen van malware-ontwikkelaars, verwachten we dat Go-gecompileerde malware in 2020 aan populariteit zal blijven winnen. Het is noemenswaardig dat Unit 42 ook tegenstanders van nationale staten de Go-taal heeft zien gebruiken, onder andere in het verleden. Het lijkt erop dat dit vooral gaat over hoe hun malwarecode te kunnen veranderen wanneer deze wordt geïnspecteerd door beveiligingsscanners.
Updates belangrijkste aanvalsgroepen in 2019
PKPLUG
Na drie jaar volgen, publiceerde Unit 42 in oktober een profiel over een reeks cyberspionage-aanvalscampagnes in Azië, waarbij een combinatie van publiek beschikbare en aangepaste malware werd gebruikt. We hebben dreigings-aanvalsgroep (of groepen, omdat onze huidige zichtbaarheid ons niet in staat stelt met vol vertrouwen te bepalen of dit het werk van één groep is) “PKPLUG” genoemd en gevolgd in en rond de regio Zuidoost-Azië, met name Myanmar, Taiwan , Vietnam en Indonesië; en waarschijnlijk ook in verschillende andere gebieden in Azië, zoals Tibet, Xinjiang en Mongolië. Deze groep richtte zich op Android-apparaten met spionage-malware, evenals de traditionele Windows-doelen met typische malware zoals PlugX en Poison Ivy, evenals voorheen ongedocumenteerde malware, Farseer, die backdoor-mogelijkheden op de systemen van slachtoffers biedt.
xHunt
Tussen mei en juni 2019 constateerde Unit 42 voorheen onbekende tools die zich richtten op transport- en verzendorganisaties in Koeweit, met één van de variaties van deze tools, daterend uit juli 2018. In september hebben we gepubliceerd op welke manier deze tools mogelijke overlappingen met OilRig ISMAgent-campagnes laten zien, gericht op organisaties binnen de transport- en scheepvaartsector in het Midden-Oosten. Vanwege deze overlappingen zijn we van plan om deze activiteit in 2020 nauwlettend te volgen om zo veel mogelijk vast te stellen over de dreigingsgroepen. Tools die in de xHunt-campagnes werden gebruikt, hadden meerdere Command & Control (C2f) -technieken, waaronder een nieuwe mogelijkheid om concept-e-mails te maken om te communiceren met de aanvaller zonder een e-mail te hoeven sturen, waardoor het mogelijk moeilijker wordt om het communicatiemechanisme te detecteren.
BabyShark
In februari hebben onderzoekers van Unit 42 een rapport gepubliceerd over de identificatie van spear phishing e-mails verzonden in november 2018 met nieuwe malware die infrastructuur deelt met playbooks die zijn gekoppeld aan Noord-Koreaanse campagnes. De malware, die we "BabyShark" hebben genoemd, exfiltreert systeeminformatie naar zijn C2-server zodra deze een systeem infecteert en blijft hardnekkig aanwezig op dit systeem, in afwachting van verdere instructies van de operator.
Mirai
Varianten van Mira, het beruchte IoT / Linux-botnet, waren er in overvloed in 2019. Unit 42 ontdekte in januari een nieuwe variant gericht op draadloze presentatie- en displaysystemen voor ondernemingen. In februari werd er nog een ontdekt die samengesteld was voor nieuwe processors / architecturen die nog niet eerder waren gezien. Uiteindelijk zijn er in juni acht nieuwe exploits toegevoegd om een breder scala aan IoT-apparaten te targeten. IoT-apparaten blijven een populair doelwit onder hackers, vooral omdat het bewustzijn van IoT-beveiliging niet zo gangbaar is en het verwachte aantal IoT-apparaten alleen zal blijven groeien in 2020, vooral nu 5G wordt gerealiseerd.
Door: Alex Hinchliffe (foto), Threat Intelligence Analyst bij Unit 42, Palo Alto Networks