cybervooruitzicht 2022

November 2021

Cybersecurity: wat brengt 2022

Op 17 november jl. presenteerde Kaspersky hun visie op de toekomst van de Advanced Persistent Threats (APT's), waarin een beeld wordt geschetst van hoe in hun optiek het dreigingslandschap in 2022 zal veranderen. Een APT onderscheidt zich van een "hit and run"-aanval door het geavanceerde en aanhoudende karakter van de cyberaanval. Hierbij past de aanvaller de gebruikte techniek constant aan, aan de verdedigingsmethoden van het slachtoffer, terwijl wordt geprobeerd om gedurende een langere periode onopgemerkte in een netwerk aanwezig te blijven om zo de doelstellingen van de aanval te realiseren. Dit kan zijn spionage, diefstal van gegevens, misbruik van het netwerk van het slachtoffer, et cetera. Aanwezigheid in een netwerk biedt ook de mogelijkheid allerhande malware te installeren om zo klanten van het besmette netwerk te infecteren en het uiteindelijk binnen het netwerk uitrollen van Ransomware.

1. Een toestroom van nieuwe APT-actoren

Uit de analyse door Kaspersky blijkt dat de grens tussen criminele threat actors (dreigingsactoren, personen, organisaties of zelfs landen achter een cyberaanval) en commerciële actoren die gebruik maken van bepaalde kwetsbaarheden in systemen aan het vervagen is. Indicatief hiervoor is de zaak rond NSO Group’s Pegasus spyware, welke volgens NSO alleen geleverd wordt aan overheidsinstanties. Het programma infecteert de telefoon van een doelwit en stuurt gegevens terug, waaronder foto's, berichten en audio-/video-opnames. Als gevolg van informatie die aan het licht kwam in recente rechtszaken heeft het Amerikaanse ministerie van Handel NSO toegevoegd aan zijn lijst met entiteiten voor activiteiten die in strijd zijn met de nationale veiligheid of de belangen van het buitenlands beleid van de Verenigde Staten. Ook werden drie andere bedrijven aan die lijst toegevoegd: Candiru (Israël), Positive Technologies (Rusland) en Computer Security Initiative Consultancy PTE LTD (Singapore).

Omdat al deze entiteiten gebruik maken van zero-day exploits, kwetsbaarheden en methoden om daar misbruik van te maken waarvoor nog geen oplossing beschikbaar is en die vaak zelfs bij de ontwikkelaars van de software niet bekend zijn, blijft het vinden van kwetsbaarheden en de ontwikkeling van zero-day exploits een lucratieve en dus groeiende markt. Tegelijkertijd gaan steeds meer softwareleveranciers offensieve software ontwikkelen en aanbieden onder het mom van beveiligingssoftware. Zolang er internationale geen maatregelen worden genomen om het gebruik van dergelijke software te reguleren, zal deze zeer winstgevend markt alleen maar meer spelers aantrekken en, in het verlengde hiervan, allerhande gebruikers, waaronder ook repressieve overheden en grote bedrijven en criminele organisaties.

2. Aanvallen op mobiele apparaten

Mobiele apparaten zijn al langer doelwit van aanvallen. Voorbeelden variëren van de bankgegevens stelende malware tot de hiervoor genoemde zeer geavanceerde NSO spionage software. Smartphones fungeren als een mobiele opslagplaats voor een enorme hoeveelheid waardevolle informatie, zowel privé als zakelijk. iOS wordt over het algemeen als veiliger gezien doordat het niet toestaat om app's te installeren buiten de appstore om, wat wel mogelijk is bij Android. Juist dit zorgt ervoor dat iOS devices interessante doelwitten vormen voor cyberspionage door statelijke actoren. Volgens Kaspersky waren er in 2021 dan ook meer in-the-wild zero-day-aanvallen op iOS dan ooit tevoren. Kaspersky voorspelt dat we in 2022 nog meer geavanceerde aanvallen op mobiele apparaten waargenomen zullen worden.

3. Meer supply chain-aanvallen

Bijzondere aandacht is besteed aan de frequentie van gevallen waarin cybercriminelen misbruik maakten van zwakke punten in de beveiliging van leveranciers om de klanten van het bedrijf aan te vallen. Toegang krijgen tot een supply chain is bijzonder lucratief en waardevol voor aanvallers, omdat ze zo toegang krijgen tot een groot aantal potentiële doelen. Om deze reden wordt verwacht dat supply chain-aanvallen in 2022 een opwaartse trend zullen vertonen.

4. Voortgezette exploitatie van WFH (Work From Home - thuiswerken)

Met werken op afstand zullen cybercriminelen onbeschermde of niet-gepatchte thuiscomputers van werknemers blijven gebruiken als een manier om bedrijfsnetwerken binnen te dringen. Social engineering om inloggegevens te stelen en brute-force-aanvallen op bedrijfsservices om toegang te krijgen tot zwak beveiligde servers zullen doorgaan. De gebruiker blijft de zwakste schakel in cyberbeveiliging. Een onderzoek een aantal jaren geleden heeft aangetoond dat 71% van aanvallen plaatsvindt via spear fishing en zelfs 90% als je ook de niet doelwit specifieke aanvallen meetelt. Deze manier van aanvallen vereist interactie met de gebruiker; de gebruiker moet op een link klikken of een bijlage openen. Met stip op een voor het slagen van dergelijke aanvallen staat het gebrek aan training van de gebruikers. Zorg dus voor voldoende training en het constant informeren van gebruikers.

5. Toename van APT-inbraken in de META-regio

De toenemende geopolitieke spanningen rond het Midden-Oosten, en Afrika zullen ertoe leiden dat  cyberspionage toeneemt. Het feit dat Afrika de snelst verstedelijkende regio is geworden en enorme investeringen aantrekt, zal zeer waarschijnlijke ook leiden tot een toename van het aantal grote APT-aanvallen in dit gebied.

6. Explosie van aanvallen op cloudbeveiliging & uitbestede diensten

Cloudcomputing biedt bedrijven wereldwijd veel voordelen en talloze bedrijven integreren cloud-computing in het bedrijfsmodel en draaien daarmee op infrastructuur van derden, die vatbaarder is voor hacks. Dit maakt dat steeds meer clouddienstverleners het belangrijkste doelwit zijn voor geavanceerde aanvallen in het komende jaar, zeker ook van statelijke actoren.

7. De terugkeer van aanvallen op laag niveau: bootkits zijn weer “hot”

Door de toenemende populariteit van Secure Boot onder desktopgebruikers, een systeem waarbij de integriteit van het opstartproces vooraf wordt gecontroleerd, worden cybercriminelen gedwongen om te zoeken naar exploits of nieuwe kwetsbaarheden in dit beveiligingsmechanisme om dit beveiligingsmechanisme te omzeilen. Zo wordt in 2022 groei van het aantal bootkits verwacht, malware die het opstartproces kan beïnvloeden en zo malware kan laten mee opstarten.

8. Staten verduidelijken hun aanvaardbare praktijken op het gebied van cybercriminaliteit

Er is een groeiende tendens bij regeringen om zowel cyberaanvallen tegen hen aan de kaak te stellen als hun eigen aanvallen uit te voeren. Dit vereist duidelijkheid over wat wel en wat niet aanvaardbaar is Volgend jaar zullen sommige landen hun taxonomie (onderscheiden en beschrijven, indelen in groepen) van cyberdelicten publiceren, waarbij ze acceptabele typen aanvalsvectoren onderscheiden.

Over Kaspersky en dit artikel

De APT-voorspellingen zijn ontwikkeld dankzij Kaspersky's Threat Intelligence Services die over de hele wereld worden gebruikt. Kaspersky is een wereldwijd bedrijf op het gebied van cyberbeveiliging en digitale privacy, opgericht in 1997. De hier gepubliceerde tekst is een vrije vertaling van de kernpunten uit hun rapport, aangevuld op enkele punten verduidelijkt en aangevuld met informatie uit andere bronnen.

Primaire bron: https://usa.kaspersky.com/about/press-releases/2021_kaspersky-predicts-advanced-persistent-threat-trends-in-2022

U.S. Department of Commerce: https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list