Cybercriminelen blijken steeds vaker de voorkeur te geven aan het inzetten van gekaapte systemen voor cryptomining, in plaats van het opeisen van losgeld. Dat concludeert Fortinet in zijn Global Threat Landscape Report voor het eerste kwartaal van 2018. Detecties van cryptomining namen flink toe; de groei was vorig jaar nog 13 procent, nu is het gestegen tot 28 procent.
Hoewel cryptomining-malware een relatief nieuwe bedreiging is, geeft die blijk van een ongekende diversiteit. Cybercriminelen ontwikkelen bestandsloze malware om detectie te omzeilen en kwaadaardige code in browsers te infecteren. De cryptominers richten hun pijlen op verschillende besturingssystemen en cryptovaluta’s, waaronder bitcoin en monero.
Voor de verspreiding gebruiken en optimaliseren zij technieken die overgenomen zijn van andere bedreigingen. Daarbij evalueren ze welke methodes wel en niet succesvol waren, om de kans op succes te vergroten. Fortinet ziet tevens dat cryptojacking vaker voorkwam in het Midden-Oosten, Latijns-Amerika en Afrika.
Ransomware en gerichte aanvallen
Toch blijft ransomware een belangrijk beveiligingsprobleem voor organisaties, blijkt uit het rapport. Deze kwaadaardige software neemt zowel in aantal als geavanceerdheid toe. De makers van ransomware gebruiken nieuwe methoden zoals social engineering en gefaseerde aanvallen om detectiemechanismen te omzeilen en systemen te infecteren.
Zo detecteerde Fortinet eerder de GrandCrab-ransomware, die in januari zijn entree deed. Dit was de eerste ransomware-variant die losgeld eiste in de vorm van de cryptovaluta dash. Twee andere ransomware-varianten die zich in het eerste kwartaal van 2018 tot belangrijke bedreigingen ontpopten, waren BlackRuby en SamSam.
Een andere interessante constatering uit het rapport is dat malware ingrijpende schade aan blijft richten, zeker wanneer cybercriminelen die gebruiken voor gerichte aanvallen. Hierbij voeren zij eerst uitgebreide verkenningen binnen het bedrijfsnetwerk uit alvorens een aanval in gang te zetten. Deze voorzichtige aanpak vergroot de kans op succes. Zodra de kwaadwillende het netwerk binnengedrongen is, baant hij zich een weg door het netwerk om vervolgens het meest destructieve onderdeel (de payload) van de aanval te activeren.