Cybercriminelen hebben het de afgelopen tijd druk gehad. Dat blijkt uit de statistieken voor de tweede helft van 2018 van ons wereldwijd netwerk van honeypots. We registreerden in deze periode een verviervoudiging van het aanvals- en verkenningsverkeer.
Het meeste aanvalsverkeer was gericht op het Telnet-protocol. Volgens ons is dit te wijten aan het toenemende gebruik van IoT-apparaten. Verkeer via de protocollen SSH, SMB en SMTP kwam op de tweede plaats. Na Telnet bleken webservers een belangrijk doelwit. Aanvallen vanuit de Verenigde Staten en Rusland voerden de lijst aan, gevolgd door aanvallen vanuit Italië en het Verenigd Koninkrijk.
De afgelopen jaren hebben we elk halfjaar gerapporteerd over het aanvalsverkeer dat door ons wereldwijd netwerk van honeypots werd gedetecteerd. Dit zijn lokservers die zijn ingericht om aanvallers aan te trekken en hun gedrag te observeren. Onze honeypots bootsen populaire diensten zoals SMB, SSH en HTTP na. Het verkeer dat ze registreren vormt een goede indicator van belangrijke trends binnen het aanvalslandschap.
Zo constateerden we na de WannaCry- en NotPetya-epidemie van 2017 een piek in het verkeer naar SMB-poort 445, dat tot op dat moment als normale activiteit werd beschouwd. We registreren ook nog altijd hoge niveaus van SMB-verkeer.
Wie heeft het op wie gemunt?
Het is altijd interessant om te zien vanuit welke IP-regio’s cyberaanvallen komen en op welke regio’s ze waren gericht.
Verkeer vanaf IP-adressen in de Verenigde Staten vertegenwoordigde dit keer het leeuwendeel van al het aanvalsverkeer, met afstand gevolgd door verkeer uit Rusland, dat op de tweede plaats komt. We zeggen er wel altijd bij dat het onmogelijk is om met zekerheid te zeggen of de aanvallen werkelijk vanuit een bepaald land komen of niet. Dit komt omdat cybercriminelen hun aanvallen kunnen omleiden via proxy-servers om ongezien te blijven. Het is mogelijk dat ze gebruikmaken van VPN-verbindingen, het anonimiteitsnetwerk TOR en geïnfecteerde systemen of infrastructuurcomponenten op andere locaties, om uit handen van de politie te blijven.
De lijst van landen wil evenmin zeggen dat er sprake is van politiek gemotiveerde aanvallen. De meeste van alle DDoS-aanvallen, malware-aanvallen en dergelijke werden naar alle waarschijnlijkheid uitgevoerd door cybercriminelen die louter op geld uit waren.
Over de bestemming van de aanvallen kunnen we met meer zekerheid iets zeggen. De volgende landen trokken de meeste belangstelling van aanvallers:
Bij de term ‘cybercrimineel’ denk je wellicht aan iemand met een capuchon die vanuit een donkere kelder aanvallen uitvoert, maar bij de meeste aanvallen is daar geen sprake van. Het percentage handmatige menselijke activiteit lag rond de 0,1% van alle aanvallen die onze honeypots detecteerden. 99,9% van het verkeer was afkomstig van bots, malware en andere geautomatiseerde aanvalstechnieken. Uiteraard zijn het wel mensen die dit soort aanvalsinstrumenten ontwikkelen en configureren. Het enorme aantal aanvallen, dat oploopt tot in de honderden miljoenen, wordt echter mogelijk gemaakt door automatisering.
Aanvallen kunnen afkomstig zijn van elk type verbonden apparaat. Zo kunnen cybercriminelen voor hun verkenningen en aanvallen misbruik maken van kwetsbaarheden in een pc, smartwatch of zelfs een ‘slimme’ tandenborstel.
Interessant genoeg scoort het Verenigd Koninkrijk wel hoog als land van oorsprong van aanvallen, is het geen oorsprongland in de toplijst van oorsprong- naar bestemmingsland. Net zoals in het vorige halfjaar blijven we aanvallen vanuit het VK detecteren die op diverse andere landen zijn gericht. Het gaat om bescheiden aantallen per land van bestemming. Het belangrijkste doelwit van aanvallen vanuit de VK was de Verenigde Staten (85.000 aanvallen). Net zoals in de vorige verslagperiode maakten Britse aanvallers het liefst gebruik van het SMB-protocol voor het uitvoeren van verkenningen. Dat gold voor maar liefst 99% van al hun aanvallen.
Poorten en protocollen
Tijdens de onderzochte periode (juli t/m december 2018) was het leeuwendeel van het aanvalsverkeer (83%) op TCP-poort 23 gericht. Deze poort wordt voor Telnet gebruikt. In het begin van het tweede halfjaar van 2018 brachten we een aantal wijzigingen aan in de Telnet-component van onze honeypots. Onze lokservers zijn daarmee beter in staat om Telnet-aanvallen te herkennen, en dat heeft geresulteerd in deze piek in het gedetecteerde verkeer. De sterke stijging wijst er echter ook op dat IoT-apparaten, die maar al te vaak gebruikmaken van zwakke gebruikersnamen en wachtwoorden, nog altijd een makkelijke prooi vormen.
Veel van alle Telnet-activiteit houdt verband met thingbots. Dit zijn met het internet verbonden apparaten die door een botnet zijn ingelijfd. We detecteerden in de tweede helft van december een sterk geconcentreerde Telnet-campagne. Cybercriminelen zien deze periode mogelijk als een ideale tijd om cyberaanvallen uit te voeren. Mensen zijn dan afgeleid door de feestdagen en zijn vaak ook aan het reizen.
Na poort 23 was poort 22 de meest aangevallen poort. Dit komt door het SSH-protocol en pogingen tot aanmeldingen op afstand. Poort 445, die verband houdt met SMB-activiteit, nam de derde plaats in, een daling ten opzichte van de voorgaande verslagperiode. In de eerste helft van 2018 observeerden we een piek van 127 miljoen aanvallen via poort 445. Voor de WannaCry- en NotPetya-aanvallen in 2017, was het SMB-aanvalsverkeer verwaarloosbaar. Het haalde niet eens de top 20 van poorten.
Op de vierde plaats kwam aanvalsverkeer via het SMPT-protocol, dat gebruikt wordt voor e-mail. Het ging hoogstwaarschijnlijk om malware en spam, zoals we in december rapporteerden. MySQL-verkeer kwam op de vijfde plaats. Dit hield met grote waarschijnlijkheid verband met pogingen tot gegevensdiefstal. MySQL is namelijk populair bij gebruikers van content management systems zoals WordPress, Drupal en Joomla. Lager in de lijst zien we het CWMP-protocol, dat mogelijk verband houdt met het protocol TR-069, waarvoor bekende exploits bestaan. Het wordt gebruikt voor beheer op afstand van apparaten zoals modems, gateways, routers, VOiP-telefoons en settopboxes.
Servers en services
Met behulp van F-Secure Riddler, onze tool voor het in kaart brengen van internettopologieën, waren we in staat om in te zoomen op de servers en services die de populairste bronnen van internetaanvallen vormden. Deze lijst werd aangevoerd door Nginx, Apache en WordPress. Na het IoT is het hacken/besmetten van webservers een van de belangrijkste aanvalstechnieken die we in onze honeypots terugzien.
Misbruik van aanmeldingsgegevens
De belangrijkste gebruikersnamen en wachtwoorden die aanvallers gebruikten om services van onze honeypots te hacken vertoonde geen noemenswaardige wijziging. ‘Root’ en ‘admin’ zijn nog altijd prominent in de lijst aanwezig. Een interessant fenomeen was dat de wachtwoorden die in het tweede halfjaar op de tweede en zesde plaats kwamen standaardwachtwoorden zijn voor een IoT-camera van Dahua en de Chinese digitale videorecorder H.264.
Bedrijfsomgevingen
Wat zijn de bevindingen van bedrijven als het gaat om externe bedreigingen? Om het antwoord op die vraag te vinden, voerden we recentelijk een enquête uit onder ICT-besluitvormers en influencers. We vroegen hen naar het aantal opportunistische en gerichte cyberaanvallen die zij het afgelopen jaar hadden gedetecteerd. Twee derde van de respondenten zei dat hun bedrijf minstens één aanval had gedetecteerd. 22% gaf aan geen enkele aanval te hebben opgemerkt. 12% wist het niet of wilde de vraag liever niet beantwoorden.
Grotere bedrijven maakten de meeste kans om cyberaanvallen te detecteren. 20% van alle bedrijven met meer dan 5.000 werknemers zei minstens vijf aanvallen te hebben gedetecteerd. Daarentegen detecteerde slechts 10% van alle bedrijven met 200 tot 500 medewerkers vijf of meer aanvallen. Grotere bedrijven zullen ook met de minste waarschijnlijkheid melden dat ze nooit een aanval hadden gedetecteerd. Slechts 16% van alle bedrijven met meer dan 5.000 werkplekken zei geen aanvallen te hebben gedetecteerd, ten opzichte van 28% van alle bedrijven met minder dan 500 werknemers.
Franse, Duitse en Japanse bedrijven zeiden met de grootste waarschijnlijkheid geen aanvallen te hebben gedetecteerd. Amerikaanse en Scandinavische landen maakten daarentegen met de meeste waarschijnlijkheid melding van vijf of meer aanvallen. Bijna de helft van alle bedrijven in India zei twee tot vijf aanvallen te hebben gedetecteerd. In de andere landen deed grofweg een derde van alle bedrijven melding van twee tot vijf aanvallen.
Iets minder dan een derde van alle bedrijven zei gebruik te maken van een oplossing voor detectie en incidentrespons.
Conclusie
Als we de afgelopen jaren iets hebben geleerd van het aanvalsverkeer naar onze honeypots, is het wel dat hoe meer er verandert, hoe meer de dingen hetzelfde blijven. Of cybercriminelen er nu voor kiezen om IoT-apparaten te hacken om een reusachtig botnet te vormen, SMB-wormen te verspreiden voor ransomware-aanvallen, spam te verzenden of hun pijlen op internetdiensten te richten, ze kiezen steevast voor de technieken waarmee ze het snelste geld kunnen verdienen.
Zoals altijd is de beste verdediging om een holistische cybersecurity-strategie te hanteren die mensen, processen en technologie verenigt:
Beperk uw aanvalsoppervlak. Reduceer waar mogelijk de complexiteit van uw netwerken, software en hardware. Zorg ervoor dat u precies weet welke systemen en services er binnen uw organisatie worden gebruikt, en deactiveer alles wat u niet nodig hebt.
Betrek uw medewerkers bij de beveiliging. Licht uw personeel in over cybersecurity en de toepassing van best practices op dit gebied. Zorg voor processen en procedures die zij makkelijk kunnen volgen.
Maak gebruik van gelaagde beveiliging. Hanteer een gelaagde beveiligingsaanpak met een combinatie van voorspellende functionaliteit, preventieve mechanismen, detectiemogelijkheden en technologie voor incidentrespons.
Interesse in een beknopte samenvatting van ons onderzoeksrapport?
Download onze infographic
Categorieën