Bitdefender kaster blikket på det forventede trusselslandskab i 2021

1. Altødelæggende datalæk hos virksomheder vil starte i dit hjem

Datalæk er den nye normal og virksomheder bruger mange ressourcer i forsøget på at implementere sikkerhedsforanstaltninger for at imødegå dette. Idet flere og flere arbejder hjemmefra i lyset af corona-pandemien, så vil medarbejdere hoppe over, hvor gærdet er lavest, når der kommer til cybersikkerhed. Personlige enheder og routere i hjemmet, der ikke er sikrede godt nok, overførsler af følsomme oplysninger over usikre eller ikke-sanktionerede kanaler (såsom meddelelses-apps, personlige email adresser og cloud-baserede dokument-processorer) vil spille en nøglerolle i brud på sikkerheden og datalæk.

Samtidig vil presset på virksomhedernes IT- og DevOps-teams blive tydeligt: fejlkonfigurerede servere i cloud-infrastrukturer, databaser, der utilsigtet bliver eksponerede, og hardcoded legitimationsoplysninger vil alle hjælpe de cyberkriminelle i deres færd med at få fat i følsomme informationer.

Små og mellemstore virksomheder vil sandsynligvis blive hårdest ramt af datalæk, da fejlkonfigurationer, der er sket under den hurtige omstilling til hjemmearbejde, vil have efterladt sikkerhedshuller, som hackerne kan udnytte i de næste 12 til 18 måneder.

2. Firmware-angreb bliver mere almindelige

Som konkurrencen skærpes inden for cyberkriminalitet, så så vil flere malware-operatører begynde at fokusere på at grave deres kreationer dybere ned i kompromitterede systemer. Angreb rettet mod firmware, som tidligere blev anset for at være ekstremt kompliceret og svært at få succes med, vil sandsynligvis blive mere almindelige i 2021. Misbrug af værktøjer som RwEverything (et program der kan bruges til at læse og vise hardware informationer og til at modificere indstillinger) kan føre til en markant stigning i antallet af firmware-angreb, især på systemer, hvor fabrikanten ikke har konfigureret firmwaren korrekt, sådan at uautoriserede omskrivninger ikke kan lade sig gøre. Ransomware-aktører vil ligeledes se mod enheders firmware mhp. at blokere enhederne, så systemerne er ubrugelige, indtil ofrene betaler løsesummen.

3. Ransomware-aktører vil begynde at kæmpe om overherredømmet

Siden 2014 har ransomware været en yderst lukrativ gren af cyberkriminalitet, hvilket har fået flere ondsindede aktører til at investere deres energi hér, og det har skabt et konkurrencepræget miljø, hvor kun de stærkeste aktører overlever. Denne konkurrence er en dårlig nyhed for computerbrugere i privaten og hos virksomheder, da angrebene bliver mere varierede og sofistikerede, hvilket kun gør malwaren sværere at dekryptere, når systemerne er blevet lammede.

• Vi har allerede set, at den malware der bliver brugt til at plante ransomware, har undergået massive forbedringer der sikrer, at leveringen af payloads sker til den rette tid. Malwaren Trickbot, der bliver brugt til at inficere systemer med ransomwaren Ryuk, er i øjeblikket i gang med at bruge en ny teknik, hvor det er UEFI’en (Unified Extensible Firmware Interface) der bliver kompromitteret, sådan at malwaren bliver mere modstandsdygtig ift. at blive fjernet.
• Der er mange aktører om buddet inden for ransomware-as-a-service (MaaS), men der er desværre altid plads til nye aktører. I 2020 har mange aktører udviklet deres ransomware, så det også er blevet i stand til at downloade følsomme oplysninger, hvilket har gjort det muligt for dem at afpresse deres ofre. Den store aktør Maze har annonceret, at de går på pension, men der er allerede en ny aktør klar til at fylde pladsen ud.
• Maze skabte et navn for sig selv, ved at være én af de første aktører der stjal ofrenes data, før systemerne blev krypteret. Nu satser flere aktører på at bruge samme taktik, og særligt en ny MaaS-aktør, der går under navnet MountLocker, har opskaleret sine operationer i 2020’s sidste måneder. Vi forventer, at taktikken med at stjæle data, før ofrenes slutpunkter bliver krypteret, bliver normen i 2021 med nye aktører, der træder i Mazes sted.

Disse tre områder vil sandsynligvis se store forandringer, da vi forventer, at de cyberkriminelle bliver mere kompetente:

• Computere og routere i folks private hjem vil blive ved med at blive hacket. Trusselsaktører, der specialiserer sig i at kapre enheder, vil enten leje adgangen til disse ud til andre grupper, der bruger adgangen til distribuere command & control-kompetencer, eller sælge adgangen til enhederne til undergrunds-aktører, der vil bruge enhederne som proxy’er, som skjuler deres ondsindede aktiviteter.
• Illegal krypto-minedrift vil nå nye højder i 2021. Samtidig med at verden forbereder sig på de økonomiske følger af pandemien, så er de store krypto-valutaer Bitcoin, Monero og Ethereum steget kraftigt i værdi. Cyberkriminelle grupper, der specialiserer sig i illegal krypto-minedrift, vil med al sandsynlighed forsøge at øge deres aktiviteter ved at inficere og i skjul udnytte privat- og datacenter-infrastruktur til at udføre den illegale minedrift.
• Malware rettet mod MacOS og Android er i støt stigning. I 2020 har vi dokumenteret flere højtprofilerede malware kampagner, der er blevet distribueret gennem Google Play Butik. Malware familier som Joker, HiddenAds og en række Banker Trojans, har dårligt nok ridset i overfladen af, hvad der eksisterer derude. Vi forventer at se flere, endnu ikke opdagede APT-kampagner (Advanced Persistent Threats, avancerede vedholdende trusler) i løbet af det kommende år

4. Forsyningskæder, industrispionage og APT

Trusselsaktørerne vil fokusere mere på at angribe forsyningskæderne end på at gå direkte efter de store mål. Ligesom vi har set angreb på de organisationer, der skal transportere de corona-vacciner, der har behov for at blive opbevaret i temperaturer under frysepunktet, eller angreb på de instanser, der håndterer dokumentationen af corona-vaccinerne, så vil angreb mod forsyningskæderne blive mere populære i 2021. Hvad end det er af politiske eller økonomiske årsager, så vil disse angreb tilmed kunne påvirke vertikale markeder, der sjældent er blevet angrebet før, f.eks. i relation til ejendomme eller sundhedspleje.

Antallet af målrettede angreb på disse missions-kritiske industrier vil stige i 2021. Trusselsaktørerne vil i højere grad angribe forskning, medicinalindustri og sundhedspleje. Ransomware-as-a-service-aktører vil formodentlig forblive de primære modstander på dette felt, men industrispionage-grupper vil sandsynligvis også udføre denne type angreb.

I forhold til sofistikerede trusler, så forventer vi at se flere APT-grupper angribe højtprofilerede ofre, ved at bruge geopolitiske hændelser som lokkemad. En stor del af disse angreb vil i højere grad omhandle penetrations-testning af frameworks for at opnå privilegium-eskalering, der kan give hackerne adgang til ellers sikrede dele af systemerne, indsamling af legitimationsoplysninger, samt lateral bevægelse på og udforskning af ofrets systemer. Vi forventer også, at disse målrettede angreb vil gøre brug af social engineering, hvor ofret snydes til af egen fri vilje at give hackerne det, de ønsker, med det formål at hente data, i stedet for rekognoscering og levering af forskellige stadier af hackernes samlede angreb, som social engineering ellers typisk har været brugt til.

5. Ny normal, nye phishing-angreb

Coronavirusets globale udbrud og den nye normal med at arbejde hjemmefra har været en katalysator for udviklingen af phishing-mails uden lige. Traditionelt har phishing mails været nemme at spotte, pga. stavefejl, grammatiske fejl og manglende autenticitet. Kun spear phishing-angreb, der er tilpasset til at ramme specifikke personer og organisationer, har tidligere været sofistikerede nok til at snyde modtageren til at tro, at mailene var helt legitime. Alt det ændrede sig, da pandemien brød ud, og de ondsindede aktører begyndte at lave store phishing-kampagner, der ikke havde de klassiske stavefejl, havde sprog og jargon, der var tilpasset modtagerne og som udnyttede legitime logoer fra de organisationer og virksomheder, som mailene gav sig ud for at komme fra. Ud over dette, så begyndte de kriminelle bagmænd hurtigt også at bruge de emner, som blev omtalt i medierne, samt den måde som flere, i forbindelse med deres hjemmearbejde, var begyndt at interagere med deres finansielle tjenester og virksomheder, der leverer pakker, til at snyde penge fra folk.

Disse mails bygger i høj grad på det føromtalte social engineering, og aktørerne er ganske enkelt blevet ekstremt sofistikerede i deres brug af denne komponent. De er gået fra at fokusere på mængden af spam-mails sendt ud, til hvor stor succes deres kampagner har. Det er simpelthen blevet sværere at se forskel på en reel mail og en af disse nye phishing-mails.

Idet 2020’s phishing-kampagner i stor stil har gjort brug af populære temaer og emner, vil denne trend formentlig fortsætte i 2021, hvor de cyberkriminelle fin-tuner deres beskeder, ift. hvad der rører sig i verden, både på et globalt og lokalt niveau.

Pandemien vil også udfordre indbakkerne og spam-filter teknologierne. Imens presset stiger for at begynde COVID-19-vaccinationsprogrammerne så hurtigt som muligt, så vil mange brugere føle sig ængstelige. I 2021 forventer vi desværre, at mange vil blive ofre for corona-relaterede malwareangreb og falske tilbud, der primært vil ramme ofrene via spam og phishing. Svindlerne vil ganske enkelt ikke kunne stå for muligheden i at lure kreditkort-oplysninger fra intetanende ofre ved at tilbyde en vaccine leveret direkte til ofrets dør. Aldrig før har det været så vigtigt, at mennesker verden over udviser ekstrem årvågenhed og god dømmekraft, når de modtager corona-relaterede beskeder, hvad end det er via mail, SMS eller telefon.

6. Trusler/Cyberkriminialitet-as-a-service

Da trusler i højere grad begynder at blive brugt som as-a-service-modeller, så vil cyberkriminalitet-as-a-service nå nye højder i 2021. Malware-udviklere og cyberkriminelle vil fokusere mere på at tilbyde yderst specialiserede ydelser. Tilsløring-as-a-service og endda APT-as-a-service vil komme til at ændre trusselslandskabet ved at introducere sofistikerede metoder til at undvige traditionelle sikkerhedsløsninger og få adgang til eksperter i at udføre yderst avancerede angreb, alt sammen tilbudt til højestbydende. Organisationer vil blive nødt til at opdatere deres trusselsmodeller, så de fokuserer på at identificere taktikker og teknikker, der normalt bliver associeret med sofistikerede trusselsaktører, da små og mellemstore virksomheders nuværende sikkerhedsværktøjer må forventes at være utilstrækkelige over for kompetente lejehackere.

7. Sårbare container-skyer og sårbar software

Sidst, men ikke mindst på vores liste over forudsigelser for 2021 er to markante typer angreb, der lige så stille er blevet taget mere i brug. Vores efterforskninger i år har afsløret stor stigning i malware-angreb, der er rettet mod fejlkonfigurerede eller uforvarende udsatte mikrocontainere. Vi forventer at se en stigning i antallet af kompromitterede containere, som bliver brugt til alt fra krypto-minedrift til at give hackerne fodfæste i netværk, hvorfra de kan kompromittere flere af netværkets systemer.

En anden vigtig observation omhandler et øget antal angreb, der bruger DLL sideloading (Dynamic Link Libraries), i populære applikationer, der anvendes af mange brugere. DLL Sideloading er en teknik, hvor hackerne placerer en DLL-fil et specifikt sted i en sårbar applikation, der får applikationen til at loade hackernes fil. På denne måde kan hackerne kapre applikationens eksekveringer, sådan at de kan eksekvere ondsindet kode i konteksten af en troværdig proces, der dermed omgår firewalls og white-lister, såvel som andet sikkerhedssoftware. Vi har for det meste set dette i målrettede angreb, men vi forventer, at teknikken blive standard i kommercialiseret malware i 2021.