Inloggegevens groeiend crimineel doelwit

0

Cybercriminelen maken het zich niet moeilijker dan nodig. Ze zijn vooral uit op inloggegevens van systemen en eindgebruikers. Bijna de helft van alle malware die ze daarbij inzetten is nieuw: antivirus-oplossingen gebaseerd op herkenning van ‘signatures’ kunnen deze aanvallen niet tegenhouden. Hierop duidt onderzoek door WatchGuard.

Bij bijna de helft van de aanvallen weten hackers antivirus te omzeilen. Meer dan ooit slaagden zij er in om zero day-kwetsbaarheden te gebruiken bij hun aanvallen: steeds vaker zetten ze informatie over security-problemen in die nog niet bekend zijn bij softwaremakers.

Klassieke, op ‘signatures’ gebaseerde antivirus-oplossingen worden steeds onbetrouwbaarder qua het tegenhouden van nieuwe aanvalsmethoden. ‘Behavioral detection’ wordt steeds belangrijker om de veiligheid van systemen te garanderen.

Mimikatz

De open source tool Mimikatz was goed voor meer dan een derde van alle malware-aanvallen. Deze populaire tool voor het stelen van inloggegevens stond het afgelopen kwartaal voor het eerst in de top 10-lijst van belangrijkste malware-varianten.

Mimikatz wordt vaak gebruikt voor het stelen van inloggegevens van Windows-systemen en werd in het tweede kwartaal van dit jaar zo vaak gebruikt dat het uitgroeide tot de belangrijkste malware-variant. Deze nieuwe uitbreiding van een reeks bekende malware-varianten laat zien dat cybercriminelen continu hun aanvalstactieken aanpassen en verder ontwikkelen.

Phishing-aanvallen maken steeds vaker gebruik van JavaScript om gebruikers om de tuin te leiden. Aanvallers maken al langere tijd gebruik van JavaScript-code en downloadfuncties voor malware-aanvallen via zowel websites als e-mail. Zo pasten aanvallers in het tweede kwartaal JavaScript in HTML-bijlages toe bij phishing-aanvallen. Hiermee konden zij inlogpagina’s simuleren van populaire en legitieme websites, als van Google en Microsoft in een poging om gebruikers te verleiden tot invullen van hun inloggegevens.

Linux

In Noord-Europa richten aanvallers zich met name op Linux gedurende het tweede kwartaal, gebruikmakend van een oude kwetsbaarheid om Linux-servers in Nederland en enkele landen in Scandinavië aan te vallen. De aanpak was bedoeld om de hash files van wachtwoorden te pakken te krijgen. Meer dan 75 procent van deze aanvallen deed een poging om via deze kwetsbaarheid toegang te krijgen tot etc/passwd. Linux-gebruikers in deze regio moeten zo snel mogelijk hun servers updaten.

Ten slotte is er flinke groei van brute force-aanvallen op webservers zichtbaar. Gedurende de zomer gebruikten criminelen geautomatiseerde tools om de inloggegevens van webservers te kraken. Deze brute force-aanvallen kwamen in het tweede kwartaal hierdoor in de top 10 van belangrijkste aanvallen terecht. Webservers die niet op een adequate manier zijn beschermd staan toe dat bij geautomatiseerde aanvallen duizenden wachtwoorden per seconde worden geprobeerd, net zo lang tot de criminelen de juiste inloggegevens vinden.

“De data […] laat zien dat aanvallers zich meer dan ooit richten op het verzamelen van inloggegevens”, zegt Corey Nachreiner, CTO van WatchGuard Technologies. “Of we het nu hebben over JavaScript-enabled phishing aanvallen, pogingen om Linux-wachtwoorden te stelen of brute force-aanvallen op webservers, de rode draad door al deze attacks is dat criminelen op zoek zijn naar inloggegevens.”

Organisaties moeten dus extra maatregelen nemen, zoals versterking van de inlogprocedures van op internet aangesloten servers, invoeren van tweefactor-authenticatie en beter trainen van gebruikers in het herkennen van phishing-pogingen. Ook zouden organisaties geavanceerde threat prevention-oplossingen moeten overwegen.

Daarnaast moeten organisaties de standaard inloggegevens van servers, netwerkapparatuur en IoT-devices vervangen door eigen inlognamen en wachtwoorden.

Over het onderzoek

De gegevens voor het rapport zijn gebaseerd op geanonimiseerde data die is verkregen van Firebox-firewalls van WatchGuard, gebruikmakend van 33.500 UTM-appliances wereldwijd.

Felix Speulman
Hoofdredacteur van IT Executive, met een interesse die de techniek voorbij gaat, altijd op zoek naar de menselijke factor. Een kwart eeuw ervaring in alles waaraan geschreven taal te pas komt. Van huis uit historicus met een sterke oriëntatie op politiek en maatschappij. Bereikbaar via felix[at]ictmedia.nl.