NTT Global Threat Intelligence Report: stijging van 300 procent in aanvallen van opportunistic targeting
NTT Ltd., publiceert zijn 2021 Global Threat Intelligence Report (GTIR). In het rapport staat omschreven hoe hackers profiteren van de wereldwijde destabilisatie door hun pijlen te richten op essentiële sectoren en veelvoorkomende kwetsbaarheden die het resultaat zijn van de verschuiving naar remote access. De gezondheidszorg, productie-industrie en de financiële dienstverlening zagen alle drie een toename in het aantal aanvallen (respectievelijk 200 procent, 300 procent en 53 procent). Samen waren deze sectoren verantwoordelijk voor 62 procent van alle aanvallen in 2020, een stijging van 11 procent vergeleken met 2019.
Doordat organisaties zo snel mogelijk meer remote access wilden bieden door middel van clientportals, nam het aantal applicatiespecifieke en webapplicatieaanvallen toe. 67 procent van alle aanvallen bestond uit dit soort aanvallen, een verdubbeling vergeleken met twee jaar geleden. De gezondheidszorg had het ’t zwaarst te verduren door de verschuiving naar telehealth en zorg op afstand: 97 procent van alle kwaadwillende activiteit die op deze sector gericht was, bestond uit webapplicatie- of applicatiespecifieke aanvallen.
Het GTIR deelt inzichten van NTT’s Cybersecurity Advisory die een volwassenheidsscore toepast op het securityprogramma van een sector, waarbij een hoger cijfer staat voor een volwassener actieplan. De gezondheidszorg en productie-industrie hebben relatief lage volwassenheidsscores van slechts 1,02 en 1,21 – en dat is reden tot zorg. De scores zijn namelijk nog lager dan de al zorgelijke 1,12 en 1,32 uit 2019, terwijl de hoeveelheid aanvallen juist is gestegen. De productie-industrie ervaarde voor het derde jaar op rij een daling in haar score, waarschijnlijk vanwege de veranderingen in de bedrijfsomgeving en de evolutie van aanvallen. Aan de andere kant liet de financiële dienstverlening voor het derde jaar op rij de hoogste benchmarkscore zien. Die score was in 2020 1,84, met weliswaar een kleine daling van 0,02 ten opzichte van 2019.
Kazu Yozawa, CEO van NTT’s Security-divisie: “Vorig jaar voorspelden we een sterke opkomst van gerichte, opportunistische aanvallen en helaas is die voorspelling uitgekomen. Hoewel deze sectoren hun best hebben gedaan om de essentiële services in crisistijden draaiende te houden, is de afname in securitystandaarden nu bedrijven die het hardst nodig hebben, alarmerend. Nu services steeds meer naar online verplaatsen met het oog op het nieuwe normaal, moeten organisaties extra aandacht schenken aan het in stand houden van best practices in hun security.”
Malware ondergaat metamorfose: cryptomalware neemt toe, Trojans komen vaker voor
Malware komt niet alleen vaker voor, maar is het afgelopen jaar ook meer divers geworden door de toename van multi-function malware. Cryptominers hebben spyware vervangen als de meest voorkomende malware ter wereld, maar het gebruik van gerichte malwarevarianten voor specifieke sectoren blijft zich ook ontwikkelen. Wormen staken het recentst de kop op in de financiële dienstverlening en productie-industrie. De gezondheidszorg werd getroffen door remote access Trojans en de technologiesector kreeg te maken met ransomware. De onderwijssector werd getroffen door cryptominers door de groeiende populariteit van mining onder studenten die misbruik maken van onbeschermde infrastructuren.
De cryptovalutamarkt is daar een duidelijke illustratie van: cryptominers besloegen in 2020 41 procent van de gedetecteerde malware. XMRig coinminer was de meest voorkomende variant, verantwoordelijk voor bijna 82 procent van alle coinminer-activiteit en bijna 99 procent in EMEA.
Mark Thomas, verantwoordelijk voor NTT’s Global Threat Intelligence Center: “Aan de ene kant heb je threat actors die profiteren van een wereldwijde ramp, en aan de andere kant heb je cybercriminelen die gebruikmaken van de enorme groei van sommige markten. De gemeenschappelijke deler van deze situaties zijn de onvoorspelbaarheid en de risico’s. Veranderingen in bedrijfsmodellen of de adoptie van nieuwe technologieën bieden kansen voor kwaadwillende actoren en met de opkomende cryptovalutamarkt die steeds populairder wordt onder onervaren studenten, waren aanvallen onvermijdelijk. Nu we een stabielere fase van de coronapandemie ingaan, moeten organisaties en individuen cybersecurityhygiëne prioriteren in alle sectoren, inclusief de supply chain.”
Andere highlights uit het 2021 GTIR
- Aanvallen op de productie-industrie zijn ten opzichte van vorig jaar met 7 procent toegenomen tot 22 procent; in de gezondheidszorg met 7 procent tot 17 procent; in de financiële dienstverlening met 15 procent tot 23 procent.
- Organisaties in meerdere sectoren ervaarden aanvallen gerelateerd aan het COVID-19-vaccin en betrokken supply chains.
- Cybercrimineel opportunisme rondom COVID-19 nam toe. In 2020 waren groepen als het OZIE Team, Agent Tesla en TA505, en nation-state actoren als Vicious Panda, Mustang Panda en Cozy Bear zeer actief.
- De meest voorkomende malwarevarianten in 2020 waren miners (41 procent), Trojans (26 procent), wormen (10 procent) en ransomware (6 procent).
- Cryptominers domineerden de activiteit in EMEA en Amerika, maar waren relatief zeldzaam in APAC.
- De technologie OpenSSL kwam in Amerika het vaakst onder vuur te liggen, maar haalde nog niet eens de top-10 in APAC.
- Aanhoudende consequenties van de Schrems II-beslissing verklaarden het EU-US-privacyschild ongeldig en stelden extra eisen aan organisaties die persoonlijke gegevens versturen van de EU naar landen buiten de EU.
- NTT’s onderzoek laat zien dat 50 procent van de organisaties wereldwijd de beveiliging van hun cloudservices prioriteit geeft – daarmee is dit de belangrijkste cybersecurityfocus tot eind 2022.
Regionale breakdown
De VS, Canada en Latijns-Amerika
- Business- en professionele services waren de meest getroffen sectoren in deze regio’s, goed voor 26 procent van alle aanvallen.
- De VS was verantwoordelijk voor de twee hoogste cijfers in reconnaissance-activiteit:
- zo’n 64 procent van alle kwaadwillende activiteit gericht op de technologiesector, bestond uit een vorm van reconnaissance.
- In de VS, Canada en Latijns-Amerika bestond 8 procent van alle aanvallen uit DoS/DDoS-aanvallen, in APAC was dat 4 procent en in EMEA 1 procent.
- Met 34 procent van alle malwaredetecties was XMRig de meest gedetecteerde malware in deze regio’s.
EMEA
- In EMEA bestond 79 procent van alle aanvallen uit gecombineerde applicatiespecifieke (42 procent) en webapplicatieaanvallen (37 procent). Met 91 procent in het Verenigd Koninkrijk had dit land het hoogste aantal gecombineerde aanvallen van alle geanalyseerde landen.
- De gezondheidszorg was in EMEA de meest aangevallen sector. De gecombineerde aanvallen van webapplicatie- (62 procent) en applicatiespecifieke aanvallen (36 procent) die zich richten op de gezondheidszorg in EMEA, besloegen 98 procent van alle kwaadwillende activiteit in deze sector. Dit percentage ligt ver boven het wereldwijde gemiddelde van 67 procent.
- XMRig besloeg bijna 99 procent van alle miner-activiteit in EMEA en 87 procent van alle gedetecteerde malware.
- Trojans waren de tweede meest voorkomende malwarevariant in EMEA.
- In het Verenigd Koninkrijk en Ierland bestond 60 procent van de meest voorkomende malware uit een Trojan-variant.
APAC en ANZ
- De malware in APAC was flink gevarieerd, maar webshells, botnets en alle Trojan-varianten besloegen samen 72 procent van alle malware. XMRig was wereldwijd de meest gedetecteerde malware, maar in geen enkel APAC-land haalde XMRig de top-10 van meest voorkomende malware.
- In APAC was de financiële dienstverlening (24 procent) de meest getroffen sector, gevolgd door de productie-industrie (22 procent).
- In ANZ vond 42 procent van de aanvallen plaats in de financiële dienstverlening, gevolgd door 24 procent in het onderwijs.
- De volwassenheid van de gezondheidszorg in APAC en Australië blijft sterk achter met een score van respectievelijk 0,60 en 0,96. Deze scores liggen onder het wereldwijde gemiddelde van 1,02. De grootste kloof is APAC met 2,53 ten opzichte van de doelsituatie.
- De technologiesector in APAC en ANZ (2,02) was volwassener dan het wereldwijde gemiddelde (1,64).
Over het Global Threat Intelligence Report (GTIR)
Het 2021 Global Threat Intelligence Report bevat wereldwijde data over aanvallen verzameld tussen 1 januari en 31 december 2020. De analyse is gebaseerd op log-, event-, aanvals-, incident- en kwetsbaarheidsdata van klanten en van NTT’s wereldwijde honeypot-netwerk. Het rapport omvat data van ondersteunde organisaties, inclusief NTT’s Cybersecurity Advisory en WhiteHat Security, en data van wereldwijd primair onderzoek. Meer weten over hoe het rapport van dit jaar organisaties voorziet van een robuust framework voor het omgaan met het cybersecuritylandschap anno 2021? Download het rapport hier.
Meer over
Lees ook
Barracuda biedt sterk verbeterde detectie van dreigingen, op basis van multimodale AI
Barracuda Networks biedt nu sterk verbeterde detectie van dreigingen, aangestuurd door multimodale AI. Door gelijktijdige analyse en correlatie van tekstuele en visuele data, waaronder URL’s, documenten, afbeeldingen, QR-codes en meer, biedt Barracuda adaptieve en contextbewuste bescherming.
Nieuw Barracuda-rapport biedt inzicht in het e-maildreigingslandschap van 2025
Uit nieuw onderzoek van Barracuda Networks blijkt dat aanvallers steeds vaker schadelijke links en content in e-mails verplaatsen van de berichttekst naar e-mailbijlagen. Dit doen ze om detectie door securitytools te omzeilen.
Risico cyberaanval stijgt enorm
Sectoren die als essentieel worden beschouwd voor het functioneren van de Nederlandse maatschappij bevinden zich in een escalerende strijd tegen cyberdreigingen. Onderzoek van DNV Cyber toont aan dat dreigingsactoren, zoals cybercriminelen en nationale staten, zich richten op digitale kwetsbaarheden van supply chains die met hen verbonden zijn.