Securityrapport NTT: er is relatief weinig ransomware

De achtste editie van het jaarlijks verschijnende securityrapport van NTT komt vandaag uit en is vooraf gepresenteerd aan AG Connect. Het GTIR is niet gebaseerd op enquêtes onder klanten, maar is opgesteld op basis van data. Dit in tegenstelling tot veel andere beveiligingsonderzoeken, stipt NTT's securitytopman Stefaan Hinderyckx aan. Daarbij gaat het onder meer om logs, informatie van SOC's (security operations centers), bevindingen uit forensische onderzoeken (DFIR), en meer 'harde' data.

Trojans en coinminers

"NTT ziet 42% van het totale internetverkeer", zegt Hinderyckx. Dat dataverkeer is deels versleuteld, maar de telecomfirma ziet wel de netflow en kan daar conclusies uit trekken. Daarnaast is de leverancier actief met securitydiensten waaruit hij informatie put voor zijn rapport over de staat van digitale dreigingen wereldwijd.

Een opmerkelijke bevinding is dat de plaag van ransomware relatief weinig voorkomt. Cybercriminelen zetten meer Trojans en coinminers in. Eerstgenoemde omvat een breed scala aan heimelijke middelen om binnen te komen bij bedrijven en organisaties. Laatstgenoemde vertegenwoordigt voor aanvallers een goed en vooral direct verdienmodel. Ze installeren daarbij software voor het 'ontginnen' (minen) van virtuele valuta, waarvoor dan de rekenkracht wordt benut van servers en cloudomgevingen van gehackte organisaties.

De deur staat open

"Coinminers zijn 41% van alle malware", geeft Hynderyckx aan. Daarbij is één geval, XMRig wat Monero minet, goed voor het leeuwendeel van alle coinminer-activiteit: wel 82%. Volgens Hinderyckx zijn organisaties soms wat laconiek over het gevaar van malware die cryptocurrencies minen; het kost wat prestatieniveau, het kost wat energie. Maar het feit dat die oneigenlijk geïnstalleerde software draait in de bedrijfsomgeving is een teken dat de deur open staat, waarschuwt Hinderyckx.

Ondertussen krijgt ransomware veel aandacht, mede omdat het de bedrijfsvoering flink kan verstoren. Toch komt digitale afpersing relatief weinig voor, ziet NTT. Ransomware staat ook laag op de lijst van zaken waar organisaties wereldwijd het minst op zijn voorbereid. Aanvallen door statelijke actoren en gelieerde cybercriminele groeperingen staan op nummer één, gevolgd door tekortschieten qua complianceverplichtingen op twee, en insider threats op de derde plaats.

Cross-site scripting

Op de vierde plaats staat opvallend genoeg cross-site scripting, waarna bedreigingen voor Internet-of-Things (IoT) en industriële technologie (OT, operational technology) volgen. Op de zesde plaats staan bedreigingen die komen vanuit de toeleveringsketen (supply chain) voor bedrijven en organisaties. Daarna volgen dreigingen voor webapplicaties en reguliere applicaties, en dan op de achtste plaats pas ransomware.

Hinderyckx legt uit: "Ransomware is toch een risico voor de aanvaller. Gaat een slachtoffer wel betalen?" Het gaat cybercriminelen net als legitieme ondernemers om de balans tussen inzet en opbrengst, oftewel return-on-investment (ROI). Hij waarschuwt nog wel voor de trend van 'meervoudige afpersing', waarbij aanvallers data nog vóór het versleutelen stelen en dan dreigen die informatie te openbaren.