De laatste trends in cybercriminaliteit: nieuw Cyber Threat Report van SonicWall

SonicWall, de toonaangevende leverancier van cyberbeveiliging, doet continu onderzoek naar de laatste trends op het vlak van cybercriminaliteit en -veiligheid. In de nieuwste update van het Cyber Threat Report deelt SonicWall al zijn bevindingen over de eerste helft van 2021. De conclusie: cybercriminaliteit is aan een ongeziene opmars bezig.

Hieronder vatten we kort de belangrijkste punten samen van het halfjaarlijks Cyber Threat Report van Sonicwall.

 

Ransomware-aanvallen zijn aanzienlijk toegenomen

In de eerste zes maanden van 2021 tekende SonicWall maar liefst 304,7 miljoen ransomware-aanvallen op. Dat zijn er al even veel als in heel 2020. Het aantal ransomware-aanvallen is met andere woorden dramatisch gestegen, en dat op slechts een halfjaar tijd.

 

 

 

 

In het 2e kwartaal (Q2) van 2021 werd een ongezien hoog aantal ransomware-aanvallen gedetecteerd

 

Waarom zijn er steeds meer ransomware-aanvallen? Volgens het Cyber Threat Report verdienen cybercriminelen nu meer aan ransomware dan in het verleden. Ze gebruiken daarvoor 2 tactieken:

  • Dubbele afpersing: steeds meer bedrijven die slachtoffer zijn van een ransomware-aanval, worden daarna ook nog eens afgeperst met hun gestolen data. Bedrijven betalen zo vaak losgeld om terug toegang te krijgen tot hun eigen gegevens, maar ook om te voorkomen dat de cybercriminelen hun bedrijfsgegevens publiek maken.
  • Herhalingsaanvallen: organisaties die zich bereid tonen om losgeld te betalen, zijn daarna jammer genoeg nog vatbaarder voor dezelfde of een andere groep cybercriminelen. Het rapport van SonicWall meent dat ongeveer 80% van de bedrijven die losgeld betaalt, opnieuw wordt aangevallen.

 

Minder malware-aanvallen dan vorig jaar

Maar er is ook goed nieuws: in de eerste helft van 2021 registreerde SonicWall Capture Labs 2,5 miljard malware-pogingen. Dat is een daling van 22% in vergelijking met dezelfde periode vorig jaar.

Hoewel er dus duidelijk minder malware wordt ingezet door cybercriminelen, wil dat helaas niet zeggen dat er minder cybercriminaliteit is. SonicWall stelt dat er minder traditionele malware of malicious software wordt gebruikt omdat er tegenwoordig meer gespecialiseerde, geavanceerde tactieken bestaan voor gerichte cyberaanvallen.

 

 

 

 

Capture ATP van SonicWall detecteerde 100% van de bedreigingen

SonicWall Capture Advanced Threat Protection (ATP)

In het halfjaarlijks Cyber Threat Report deelt SonicWall ook de resultaten van de ICSA Labs test, waarin Capture Advanced Threat Protection (ATP) een score van 100% behaalde. Je leest er alles over in ons recent blogartikel ‘SonicWall behaalt perfecte score voor Advanced Threat Protection’.

Het volledige Cyber Threat Report van SonicWall kan je hier downloaden.

Heb je nog vragen over de beveiliging van jouw systemen? Contacteer ons dan vrijblijvend voor meer informatie.

Bonjour et au revoir! Zeroday misbruikt!

Apple Bonjour kwetsbaar en misbruikt door BitPayMer Ransomware met desastreuze gevolgen.

Onlangs kreeg ik een telefoon van een klant op zondagavond. Die vertelde dat het volledige netwerk onbeschikbaar was geworden door een ransomware. Ik kreeg ook een foto toegestuurd van het bericht dat de hackers hadden achtergelaten.

ransomware note bonjour
ransomware note

Hiermee kon ik aan de slag en enkele opzoekingen later kon ik vrijwel zeker besluiten dat het over de BitPayMer RansomWare ging. Een ransomware die sinds 2017 actief is en waar nog geen oplossing voor bestaat.

Nieuwe modus operandi: Apple Bonjour Service

Het ging om een zogeheten "unquoted service path" kwetsbaarheid in de updater van Bonjour. Bonjour is software waarmee iTunes gedeelde muziek op andere computers in een lokaal netwerk kan vinden. Het wordt samen met iTunes geïnstalleerd. Via de kwetsbaarheid konden aanvallers die al toegang tot een systeem hadden Bonjour gebruiken om de BitPaymer-ransomware uit te voeren. Bonjour is digitaal gesigneerde en bekende software. Door de software voor de installatie van de ransomware te gebruiken konden aanvallers detectie door antivirussoftware omzeilen. Eens dat achter de rug was werd er gebruikt gemaakt van account hopping & keyloggers om zo tot bij de beheerders accounts te geraken.

Picture taken over 9 months ago as a part of my 365 project.
Photographer: Michał Kubalczyk | Source: Unsplash

De in Cupertino gevestigde tech-gigant heeft reeds de zero-day kwetsbaarheid op 7 oktober hersteld met de release van iTunes 12.10.1 voor Windows en iCloud voor Windows 7.14 direct nadat de exploit bekend is geraakt.

Het is ten stelligste aan te raden om beide zo snel als mogelijk bij te werken!

Strategische aanpak richting herstel

Maandagochtend stuurden we onze expert ter plaatse om samen met onze klant te bekijken welke data er nog beschikbaar was en wat de status was van de backups.

repair herstel
Photographer: Zhen Hu | Source: Unsplash

Onze klant is een internationaal Europees bedrijf met hoofdvestiging en beslissingcentrum in Duitsland. Van daaruit is ook de ransomware binnengedrongen. Incrius assisteert hen in de Belgische site.

De status op zondagavond was ernstig:

  • Servers onbeschikbaar over alle vestigingen in Europa.
  • Pc's en laptops geëncrypteerd.
  • Status van de backups onbekend en mogelijks ook vernietigd.
  • Onzekerheid of de hackers nog in het netwerk zitten.

Na de eerste vaststellingen bleken de offline backups van zaterdag van België en Nederland nog intact, dat was een hele opluchting! Daar beide netwerken afhangen van het netwerk van Duitsland moeten we wachten tot dat dat weer operationeel is.

In Duitsland zijn in het begin van de week de autoriteiten ingelicht en is een forensisch security team aan de slag gegaan om de besmetting ongedaan te maken. Dit dient heel grondig te gebeuren daar je heel moeilijk kan achterhalen of de indringers zich nog in je netwerk bevinden en waar ze zich verstoppen.

virus bonjour apple
Photographer: Michael Geiger | Source: Unsplash

De operationele schade voor het bedrijf is groot. Werknemers werden enkele dagen technisch werkloos. Systemen moeten hersteld of opnieuw geïnstalleerd worden. Bestellingen lopen vertragingen op. As we speak wordt er met man en macht gewerkt om alles terug operationeel te krijgen.

Security tips & advies

Vandaag de dag is het niet meer de vraag of je gehacked wordt, het is eerder wanneer dat zal gebeuren. Dus dien je beveiligingsmaatregelen te nemen in overeenkomst tot de vereisten die gesteld worden aan jouw business en de complexiteit daarvan.

In de eerste plaats om een besmetting of virus tegen te gaan. Maar bovenal dien je ervoor te zorgen dat je data goed beveiligd is zodat die ten allentijde beschikbaar is ook indien je moet herstellen van die besmetting.

Heb je na het lezen van dit artikel vragen bij jouw beveiligingsbeleid- of maatregelen? Wil je een onafhankelijke audit of analyse? Contacteer onze experten! We staan je graag bij met raad en daad!