Nyckelinsikter

  • Trend pekar på att angripare skiftar från fullständigt automatiserade infektioner till halv-automatiserade där angriparen automatisk distribuerar skadlig kod för initialt fotfäste men senare manuellt försöker angripa infrastrukturen för att på bred front kunna sprida skadlig kod genom existerande infrastruktur (tänk Microsoft SCCM)
  • E-post är fortfarande tveklöst den vanligaste vektorn, men forcering av RDP har seglat upp till toppen; se till att du inte exponerar RDP mot Internet!
  • Cryptomining fortsätter vägen mot toppen och anses nu vara ett lika stort hot som övriga typer av skadlig kod. På grund av att den också många gånger kan vara plattformsoberoende kan Android, iOS, GNU/Linux och macOS också ”infekteras”.
  • Skadlig kod visar också på en övergång till att använda sig utav legitima verktyg och program, så kallad Living off the Land (LoL)-mjukvaror. Vad som är legitim kan alltså också användas för bus.

Rapport från Sophos är bra, men det finns ett gäng saker jag saknar. De inleder med hur viktigt det är med rigorös och trovärdig rapportering. Hur viktigt det är med sunda och vetenskapligt förankrade mätningar. Vad saknas i rapporten? Precis, exakt detta. Det finns nästan inga siffror som stödjer de slutsatser som presenterats. Synd eftersom det annars är en bra och välskriven rapport.

Anteckningar från rapporten

  • Riktade angrepp påstås bli vanligare, men detta påstående får endast stöd genom en anekdot som hur en angripare genom forcering av RDP sprider skadlig kod i ett företag. Sophos säger också att de noga följt utvecklingen av mycket riktade attacker… inte hur många, eller hur många av deras kunder som påverkats… ingenting.
  • I en jämförelse av utpressningstrojaner finns många gemensamma nämnare, bland annat RDP som ingångsvektor.
  • Skadlig kod som utnyttjar legitima och redan installerade programvaror (Living off the Land, eller LoL) blir allt vanligare. Det går alltså inte längre att endast titta efter skadliga filer utan du måste även få till övervakning av legitima program och tjänster.
  • Microsoft Office-filer exploderar i användning. Det finns flera så kallade ”builders” som helt enkelt skapar skadliga office-filer åt dig. Populärt hos flera distributörer av skadlig kod. Säkerställ att användare inte kan slå på makron, särskilt inte om filerna kommer från internet.
  • Antalet skadliga filändelser blir fler och fler. Snart, om ni inte redan gör det, är det bättre att säga vad som får komma igenom än vad som ska blockeras. Vanligt att skadlig kod distribueras i packade filer med lösenord som många gånger förhindrar AV från att fungera. Samtidigt en indikator på att något kanske kan vara skadligt… svår gränsdragning, fler åtgärder nödvändiga.
  • Skadlig kod för mobila enheter ökar, men kanske inte på det sätt vi tänker oss. Det blir allt vanligare med applikationer som presenterar ett skal i vilket en webbläsare finns. Den används sedan för att koppla upp telefonen mot en adress där angreppet utförs, så kallad ”phishing in the app”. Bygger på angriparens förmåga att locka användaren att installera appen (som många gånger kan finnas på legitima appstores).
    • Vidare har det blivit allt vanligare att appar innehåller cryptominers vilket är svårt att upptäcka eftersom koden inte omedelbart kan konstateras vara skadlig.
    • Och så ”click-fraud”, där applikationer presenterar reklam som sedan automatiserade klienter ”trycker” på för att ge sken av att flera tusen användare har klickat på reklamen och således generera intäkter.
  • Angrepp mot Internet of Things (IoT)-enheter illustreras fortfarande av Mirai och VPNfilter. Det är antagligen bara en tidsfråga innan fler enheter börjar angripas.

Sophos rekommenderar vad?

  • Använd lösenordshanterare, återanvänd inte lösenord.
  • Håll operativsystemen uppdaterade.
  • Ändra default lösenord för administrativa-konton.
  • Använd fler-faktors autentisering där så är möjligt.