Opportunistisch als ze zijn, hebben cybercriminelen zich het afgelopen jaar veelvuldig gericht op essentiële sectoren. Daarbij maakten zij handig gebruik van veelvoorkomende kwetsbaarheden die in omvang zijn toegenomen als gevolg van remote working. Pakweg de helft van de organisaties wereldwijd geeft prioriteit aan de beveiliging van hun cloudservices. Hierop duidt jaarlijks terugkerend, wereldwijd onderzoek door NTT.
De gezondheidszorg, maakindustrie en financiële dienstverlening zagen alle drie een toename in het aantal aanvallen. Aanvallen op de productie-industrie zijn ten opzichte van vorig jaar met 7 procent toegenomen tot 22 procent; in de gezondheidszorg met 7 procent tot 17 procent; in de financiële dienstverlening met 15 procent tot 23 procent: samen 62 procent van alle aanvallen in 2020, een stijging van 11 procent vergeleken met 2019.
Doordat organisaties vorig jaar snel remote access wilden bieden via client portals, nam het aantal applicatie-specifieke aanvallen en exploits van webapplicaties toe. Van alle aanvallen bestond tweederde uit deze twee typen, wat een verdubbeling is in vergelijking met de resultaten van twee jaar geleden. De gezondheidszorg werd het hardst getroffen: 97 procent van alle kwaadwillende activiteit die op deze sector gericht was, bestond uit webapplicatie-aanvallen of applicatiespecifieke aanvallen.
“Vorig jaar voorspelden we een sterke opkomst van gerichte, opportunistische aanvallen en helaas is die voorspelling uitgekomen”, zegt Kazu Yozawa, CEO van NTT’s Security-divisie. “Hoewel deze sectoren hun best hebben gedaan om de essentiële services in crisistijden draaiende te houden, is de afname in securitystandaarden nu bedrijven die het hardst nodig hebben, alarmerend. Nu services steeds meer naar online verplaatsen met het oog op het nieuwe normaal, moeten organisaties extra aandacht schenken aan het in stand houden van best practices in hun security.”
Het rapport dat het onderzoek begeleidt, deelt inzichten van NTT’s Cybersecurity Advisory die een volwassenheidsscore toepast op het securityprogramma van sectoren, waarbij een hoger cijfer staat voor een volwassener actieplan.
De gezondheidszorg en maakindustrie hebben relatief lage volwassenheidsscores van slechts 1,02 en 1,21 – en dat is reden tot zorg. Deze zijn zelfs lager dan de al zorgelijke 1,12 en 1,32 uit 2019, terwijl de hoeveelheid aanvallen juist is gestegen. De maakindustrie ervoer voor het derde jaar op rij een daling in haar score, waarschijnlijk vanwege de veranderingen in de bedrijfsomgeving en de evolutie van aanvallen. Aan de andere kant liet de financiële dienstverlening voor het derde jaar op rij de hoogste benchmarkscore zien. Die score was in 2020 1,84, met slechts een kleine daling van 0,02 ten opzichte van 2019.
Multi-function malware
Malware komt niet alleen vaker voor, maar is het afgelopen jaar ook meer divers geworden. Cryptominers hebben spyware vervangen als de meest voorkomende malware ter wereld, maar het gebruik van gerichte malwarevarianten voor specifieke sectoren blijft zich ook ontwikkelen. Wormen staken het recentst de kop op in de financiële dienstverlening en productie-industrie. De gezondheidszorg werd getroffen door remote-access trojans en de technologiesector kreeg te maken met ransomware. De onderwijssector werd getroffen door cryptominers, door de groeiende populariteit van mining onder studenten die misbruik maken van onbeschermde infrastructuren. Cryptominers besloegen in 2020 41 procent van de gedetecteerde malware.
In de EMEA-regio bestond 79 procent van alle aanvallen uit gecombineerde applicatiespecifieke aanvallen (42%) en aanvallen op webapplicaties (37%). Met 91 procent in het VK had dit land het hoogste aantal gecombineerde aanvallen van alle geanalyseerde landen.
De gezondheidszorg was in EMEA de meest aangevallen sector. Gecombineerde aanvallen van webapplicaties (62%) en applicatie-specifieke aanvallen (36%) besloegen zelfs 98 procent van alle kwaadwillende activiteit in deze sector. Dit percentage ligt ver boven het wereldwijde gemiddelde van 67 procent.
Cryptominer XMRig besloeg bijna 99 procent van alle miner-activiteit in de regio en 87 procent van alle gedetecteerde malware. Trojans waren de tweede meest voorkomende malwarevariant in EMEA. In het VK en Ierland bestond 60 procent van de meest voorkomende malware uit een Trojan-variant.
“Aan de ene kant heb je threat actors die profiteren van een wereldwijde ramp, en aan de andere kant heb je cybercriminelen die gebruikmaken van de enorme groei van sommige markten”, zegt Mark Thomas, verantwoordelijk voor NTT’s Global Threat Intelligence Center.”
“De gemeenschappelijke deler van deze situaties is de onvoorspelbaarheid en de risico’s. Veranderingen in bedrijfsmodellen of de adoptie van nieuwe technologieën bieden kansen voor kwaadwillende actoren en met de opkomende cryptovalutamarkt die steeds populairder wordt onder onervaren studenten, waren aanvallen onvermijdelijk. Nu we een stabielere fase van de coronapandemie ingaan, moeten organisaties en individuen cybersecurityhygiëne prioriteren in alle sectoren, inclusief de supply chain.”
Over het onderzoek
Het 2021 Global Threat Intelligence Report bevat wereldwijde data over aanvallen verzameld tussen 1 januari en 31 december 2020. De analyse is gebaseerd op log-, event-, aanvals-, incident- en kwetsbaarheidsdata van klanten en van NTT’s wereldwijde honeypot-netwerk. Het rapport omvat data van ondersteunde organisaties, inclusief NTT’s Cybersecurity Advisory en WhiteHat Security, en data van wereldwijd primair onderzoek.