Hotrapporter som publiceras av leverantörer tycker jag är intressanta ur perspektivet att de ger en någorlunda god inblick i vad som driver aktörer bakom skadlig kod och annan typ av cyberkriminell verksamhet.

För några dagar sedan publicerade McAfee Labs sin senaste hotrapport och detta är en enklare genomgång och sammanfattning av vad jag anser vara det mest intressanta från rapporten.

Nyckelinsikter

  • Riktade cyberangrepp är mycket begränsade i antal jämfört med ”vanliga” angrepp. Beror det på svårupptäckt skadlig kod eller för att det helt enkelt inte förekommer särskilt många angrepp?
  • McAfee Labs introducerar i den här rapporten MITRE ATT&CK matriser vilket är riktigt fint. Rapporten blev plötsligt mycket mer användbar.
  • Utvinning av kryptovalutor fortsätter vara en stark drivkraft bakom skadlig kod. Där det finns pengar, finns det skadlig kod.
  • MacOS/IoT fortsätter stadig uppgång av att utsättas för skadlig kod.

Anteckningar

Här kommer några av mina mer löst sammansatta anteckningar från att ha läst rapporten.

Marknader för cyberkriminell verksamhet

Aktörer som vill sälja produkter/tjänster/information på dark/deep-web verkar försöka antingen hitta eller etablera specialiserade forum för just deras typ av produkt. Detta som ett alternativ till att använda de stora marknadsplasterna som ofta utreds av Polis.

En förflyttning från TOR till Telegram. Kan vara värt att undersöka om det förekommer trafik till Telegram vilket skulle kunna vara indikativt av cyberangrepp eller skadlig kod.

Intrångsvektorer

Det fortsätter vara populärt att köpa inloggningsuppgifter som möjliggörs av att:

Password reuse, not enabling two-factor authentication, and failing to change passwords on a regular basis are the main factors that make these attacks so effective.

RDP-åtkomst fortsätter även det att vara en vanligt förekommande produkt som säljs på den mörka marknaderna.

Integration av MITRE ATT&CK

Något jag tycker är så himla fint av McAfee Labs i den här rapporten är deras användande och integration av MITRE ATT&CK matriser. Det gör rapporten omedelbart mycket mer användbar. Nu kan du direkt kontrollera mot er existerande skyddsförmåga om ni har ”täckning” för vad som anges i rapporten. Detta önskar jag helt klart att fler aktörer på marknaden började göra.

Övriga anteckningar

Skadlig kod för MacOS fortsätter att öka och visar inga trendmässiga tecken på att minska eller avta.

Precis som för MacOS fortsätter även skadlig kod att öka för IoT-enheter. Vilket är logiskt med tanke på att alltfler sådana enheter kopplas upp mot nätet och framförallt sällan uppdateras. Samtidigt är de oftast indirekt använda vilket innebär att en användare sällan kommer se CPU-användning etc. Sammantaget bör detta leda till att vi kommer se en ökning inom det kommande året av skadlig kod för IoT som försöker utvinna kryptovaluta.