Internet of Things (IoT)-apparaten die waren besmet met de Mirai-malware en tot een botnet werden omgevormd, gaven volgens de studie de aanzet tot verschillende recordbrekende DDoS-aanvallen. De publicatie van de broncode van Mirai leidde ertoe dat de botnet-activiteit wekelijks met een factor 25 toenam, en met 125 keer tegen het einde van het jaar.
IoT-gerelateerde exploits die verband hielden met verschillende categorieën apparaten, gaven aan dat scans op kwetsbare routers en printers in huishoudens de lijst aanvoerden. DVR’s en NVR’s vervingen routers kortstondig als voorkeursdoelwit van cybercriminelen met een enorme sprong met ruim een verzesvoudiging.
Mobiele malware
Mobiele malware groeide uit tot een groter probleem dan voorheen. Hoewel dit slechts 1,7 procent van het totale malware-volume vertegenwoordigde, kreeg een op de vijf organisaties die melding deed van malware te maken met een mobiele variant. Bijna alle malware was gericht op Android.
Op het gebied van aanvallen met mobiele malware bleek sprake te zijn van aanzienlijke regionale verschillen. 36 procent werd gemeld door Afrikaanse organisaties, 23 procent door Aziatische organisatie en 16 procent door Noord-Amerikaanse organisaties. In Europa lag dit percentage op slechts 8 procent. Deze data heeft gevolgen voor de mobiele apparaten die tegenwoordig met bedrijfsnetwerken zijn verbonden.
Exploits
De relatie tussen het volume van exploits en de dominante positie daarvan wijst volgens Fortinet op een groeiende automatisering van cyberaanvallen en de lagere kosten van tools voor het ontwikkelen en distribueren van malware die op het dark web te vinden zijn. Dit maakt het voor cybercriminelen goedkoper en eenvoudiger dan ooit om aanvallen uit te voeren.
SQL Slammer stond bovenaan de lijst met gedetecteerde exploits met een niveau van ernst van ‘hoog’ of ‘kritiek’, voornamelijk gericht op onderwijsinstellingen. Een exploit die blijk gaf van pogingen tot aanvallen met bruut geweld op het Microsoft Remote Desktop Protocol (RDP) kwam op de tweede plaats.
De op twee na meest voorkomende exploit heeft betrekking op een signature die verband houdt met een kwetsbaarheid in Windows File Manager. Deze stelt aanvallers in staat om op afstand willekeurige code uit te voren binnen kwaadaardige applicaties met behulp van een .JPG-bestand.
Ransomware
Ransomware vormt een aandachtspunt in elke branche. Deze aanvalsmethode met hoge waarde zal naar alle waarschijnlijkheid opnieuw van zich laten horen als gevolg van de groei van ransomware-as-a-service (RaaS). Dit stelt potentiële cybercriminelen zonder training of vaardigheden in staat om simplweg tools te downloaden en die op een slachtoffer te richten.
36 procent van alle organisaties detecteerde botnet-activiteit die verband hield met ransomware. TorrentLocker kwam op de eerste plaats, en Locky op de derde. Twee malware-families, Nemucod en Agent zorgden voor een ware misdaadgolf. 81,4 procent van alle gedetecteerde malware-fragmenten behoorden tot deze twee families. De Nemucod-familie is volgens Fortinet berucht voor haar banden met ransomware.
Ransomware was aanwezig in alle regio’s en sectoren, maar verspreidden zich met name op brede schaal in zorginstellingen. Dit blijft een significante ontwikkeling, omdat de gevolgen van het versleutelen van patiëntgegevens veel ernstiger kunnen zijn, en deze langer waardevol en een grotere persoonlijke waarde vertegenwoordigen dan andere typen data.
Kwetsbaarheden
Cybercriminelen lieten het afgelopen jaar geen kwetsbaarheid onbenut. Helaas richtte hun aandacht zich op het ontbreken van patches en gebrekkigheden in verouderde apparatuur en software. Hierdoor konden ICT-afdelingen minder tijd en aandacht besteden aan het groeiende aanvalsoppervlak dat in snel tempo groeide als gevolg van de opkomst van digitale apparaten.
86 procent van alle bedrijven meldden aanvallen waarbij een poging werd gedaan om misbruik te maken van kwetsbaarheden die meer dan tien jaar publiekelijk bekend waren. In bijna 40 procent van al deze gevallen was er sprake van exploits van kwetsbaarheden die nog verder in de tijd terugvoerden.
Per organisatie werden gemiddeld 10,7 unieke gevallen van misbruik van kwetsbaarheden in applicaties geconstateerd. Circa negen op de 10 bedrijven detecteerden exploits met een hoog niveau van ernst of kritieke exploits.
Infrastructuurtrends
Het is volgens Fortinet belangrijk om oog te hebben voor infrastructuurtrends en hoe die verband houden met het bedreigingslandschap. Exploits (misbruik van kwetsbaarheden), malware en botnets vormen geen geïsoleerde incidenten, en het detecteren en voorkomen van bedreigingen wordt steeds moeilijker naarmate de netwerkinfrastructuur zich verder ontwikkelt.
Volgens de onderzoeksgegeven bleef met SSL versleuteld dataverkeer op een stabiel pijl rond 50 procent, goed voor ruwweg de helft van al het internetverkeer dat binnen organisaties verliep. HTTPS-verkeer is een belangrijke trend om in de gaten te houden. Hoewel dit positieve gevolgen heeft voor de privacy, zorgt het ook voor problemen bij het detecteren van bedreigingen die in staat zijn om zich te verbergen in het versleutelde communicatieverkeer. SSL-verkeer wordt vaak niet geïnspecteerd vanwege de enorme verwerkings-overhead die gepaard gaat met het openen, inspecteren en opnieuw versleutelen van dataverkeer. Dit dwingt ICT-afdeling tussen het sluiten van compromissen tussen de beveiliging en netwerkprestaties.
Het gemiddelde aantal cloudapplicaties per organisatie steeg tot 63, grofweg een derde van alle in kaart gebrachte applicaties. Deze trends heeft ingrijpende gevolgen voor de beveiliging, omdat ICT-afdelingen minder zicht hebben op de data die in cloud-applicaties zijn behuisd, hoe die data wordt gebruikt en wie er toegang toe heeft. Social media, streaming audio en video en P2P-applicaties lieten geen noemenswaardige stijging zien.
