Eset Threat Report: wat zijn de grootste cybergevaren in 2022?

In het Threat Report analyseert Eset de meest opvallende trends in het cybersecuritylandschap. Ransomware, cyberoorlogen en spyware, het komt allemaal aan bod in het rapport.

Het recentste onderzoeksrapport van Eset overspant de periode van mei tot en met augustus 2022. Deze tijd van het jaar associëren we met de zomervakantie en dat blijkt deels ook in het cybercrimemilieu het geval te zijn. Eset detecteerde over alle categorieën heen een daling van tien procent in het totale aantal cyberbedreigingen.

Maar dat wil niet zeggen dat hackers alleen maar op het strand gelegen hebben tijdens de zomer. In het Eset Threat Report komen we alles te weten over de meest frappante bedreigingen. En die kwamen weer voor in alle vormen en maten. We bespreken enkele opvallende bevindingen van de onderzoekers van Eset.

Opvallende daling in ransomware

Ransomware is één van de meest gevreesde aanvalsmethodes. Hackers versleutelen kritieke of gevoelige data en geven die pas vrij na het betalen van een borgsom. Omwille van de mogelijkheid op snel geldgewin, is ransomware onder criminelen een beproefd recept. Toch noteerde Eset een opvallende duik van bijna een kwart minder gerapporteerde incidenten.

Voor een sterkere daling moeten we al teruggaan naar het begin van 2021. Eset schrijft de daling toe aan een groeiend bewustzijn rond de problematiek bij bedrijven en beleidsmakers. Ransomware wordt strenger bestraft en slachtoffers lijken tegenwoordig minder snel in te gaan op de eisen van hackers. Heeft ransomware zijn piek bereikt? De komende kwartalen zullen het uitwijzen.

De cyberoorlog woedt verder

De oorlog in Oekraïne is niet meer uit het nieuws weg te denken en de impact is ook in het cybersecuritylandschap duidelijk voelbaar. Geopolitieke conflicten vormen vaak een voedingsbodem voor cyberaanvallen met een politiek in plaats van economisch motief.

Volgens Eset viel Sandworm, een groepering die mogelijke banden met de Russische militaire inlichtingendienst heeft, Oekraïense doelwitten aan met ArguePatch- en CaddyWiper-malware. In het verleden richtte Sandworm zich al op energiecentrales in Oekraïne. Hieruit concludeert de beveiligingsspecialist dat Sandworm zijn arsenaal voor campagnes gericht op Oekraïne blijft uitbreiden. In de omgekeerde richting merkt Eset dat ideologische cyberaanvallen op Rusland dan weer afnemen sinds het begin van de oorlog.

Op zijn Lazarus geven

Een hackerscollectief dat zeker niet met vakantie is gegaan, is Lazarus. De Noord-Koreaanse groep, over wie eveneens het vermoeden heerst dat ze in opdracht van het regime werken, werd de laatste jaren meermaals gelinkt aan grootschalige cyberincidenten en is ook in 2022 weer zeer actief. Zo zou de hackersgroep bijna een jaar na ontdekking nog steeds teren op de Log4j-kwetsbaarheid om onder meer VMWare-servers aan te vallen.

Maar de groep toont ook een nieuw gelaat. Zo ging de hackersgroep voor het eerst vissen in de cryptovijver door aan spear phishing te doen. Al blijft de modus operandi van Lazarus wel herkenbaar.: de hackersgroep staat erom gekend om slachtoffers via LinkedIn met valse vacatures te benaderen, in deze campagne waren het valse vacatures voor cryptoplatform Coinbase.

Als het slachtoffer op de vacature klikt, laat deze kwaadaardige bestanden achter die de controle over het apparaat overnemen. Deze campagne richtte zich voornamelijk op macOS-apparaten, al circuleert er ook een Windows-tegenhanger.

Onder de radar

Eset trekt aan de alarmbel over een groei in het gebruik van spyware. Spyware komt voor op alle besturingssystemen, maar het is vooral op Android dat het gebruik ervan toeneemt. Het rapport van Eset spreekt enkel over gevallen die gekend zijn, want goede spyware is ontwikkeld om juist onder de radar te blijven.

Spyware haal je meestal op dezelfde manier binnen als malware, via bestanden in mails bijvoorbeeld. Maar waar malware gemaakt is om schade aan te brengen, nestelt spyware zich in de kern van de software en houdt het in het geniep alles in de gaten wat je doet met je apparaat. Het virus verzamelt persoonlijke gegevens en inhoud van je communicatie voor de afzender.

Achter spyware zit in bijna alle gevallen een politiek motief. Het wordt vaak toegeschreven aan dictatoriale regimes om politieke tegenstanders en kritische journalisten te bespieden. Maar volgens Eset mogen we niet blind zijn voor het feit dat dit evengoed voorkomt in de Europese Unie.

Lenovo

Gebruik jij een laptop van Lenovo? Lees deze paragraaf dan extra aandachtig. Onderzoekers van Eset ontdekten drie buffer overflow kwetsbaarheden in de UEFI firmware van meerdere Lenovo-laptops. Meer dan zeventig verschillende modellen van de fabrikant bleken kwetsbaar, waaronder verschillende binnen de ThinkBook-serie.

De onderzoekers rapporteerden al deze kwetsbaarheden aan de fabrikant op 18 februari. Lenovo erkende ze en bracht op 12 juni een beveiligingsadvies uit met een lijst van getroffen apparaten en instructies voor het bijwerken van de firmware. Heb jij de patches al geïnstalleerd? Zeker bij kmo’s durft patch management al eens naar achteren schuiven op de prioriteitenlijst, hoewel dergelijke ondernemingen een populair doelwit zijn.

Beveiligingstip: geef patchen de hoogste prioriteit

RDP-aanvallen zijn (bijna) dood

Tijdens de begindagen van de coronapandemie was RDP (Remote Desktop Protocol, of Ransomware Deployment Protocol voor de cynici) de motor achter vele cyberaanvallen. Het protocol was destijds zeer nuttig om thuiswerkers vanop afstand toegang te geven tot een apparaat, en hackers wisten dan ook dat ze vrij spel hadden eens ze de RDP-login te pakken hadden.

Anno 2022 heeft RDP veel van zijn belang terug moeten inboeten nu werknemers weer vaker naar kantoor komen. Criminelen laten het protocol dan ook links liggen. In het eerste trimester daalde het aantal RDP-incidenten al aanzienlijk, en daar komt in het tweede trimester nog eens een daling van negentig procent bovenop.

Volgens Eset heeft de daling ook te maken met verbeterde beveiliging. Bedrijven lijken eindelijk de les te hebben geleerd en waar nodig MFA in te schakelen.

Als een vis aan de haak

We kunnen het niet over cyberbedreigingen hebben zonder de term ‘phishing’ ergens te laten vallen. Phishing blijft de populairste aanvalsvector voor cyberaanvallen. Eset beschouwt phishing dan ook als de meest courante mail- en webbedreiging waar iemand op kan botsen.

Dat illustreren de cijfers: de software van Eset blokte bijna vijf miljoen phishinglinks af, 28 procent meer dan tijdens het vorige trimester. Bedrijven die het vaakst werden nagebootst door de phishers om slachtoffers te lokken waren koeriersdiensten, financiële instellingen en Microsoft.

Ook hier moeten zowel grote als kleinere bedrijven aandachtig blijven. Aanvallers richten zich immers op ondernemingen van allerlei pluimage en zeker kmo’s zijn doorgaans bovengemiddeld kwetsbaar.

Dit is een redactionele bijdrage in samenwerking met Eset. Wil je meer te weten komen over het cybersecuritylandschap in 2022? Lees dan het Eset Threat Report T2 2022.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.