public

Sammanfattning: Proofpoint Threat Report Q4 2018

För några dagar sedan publicerade Proofpoint sen senaste hotrapport, den här gången för Q4 2018. Det är en relativt kort och enkel rapport att ta sig igenom. Den gräver inte

för ett år sedan

Senaste Artikel Cyberförsvarsdagen 2020 - Löpande anteckningar av Christoffer Strömblad public

För några dagar sedan publicerade Proofpoint sen senaste hotrapport, den här gången för Q4 2018. Det är en relativt kort och enkel rapport att ta sig igenom. Den gräver inte särskilt djupt utan ger en övergripande blick av det globala hotlandskapet. Dess “underrättelse”-värde är således tämligen begränsat, men några intressanta insikter går ändå att dra.

Nyckelinsikter

Följ pengarna

Det är ett återkommande tema, och ett egentligen ganska uppenbart sådant. De cyberkriminella finns där pengarna finns. Med andra ord banktrojaner, Business Email Compromise (BEC, e-postbedrägerier) och utvinning av kryptovaluta. Dessa är majoritetsägare i brottsligheten.

BEC-attacker fortsätter att öka och värt att notera i det här sammanhanget är att många företag som utsätts får sina egna domäner använda emot dem själva. Detta skulle enkelt kunna förhindras med hjälp av ett SPF-record i DNS, och sedan får de gärna utökas med DKIM och DMARC givetvis.

Utvinning av kryptovaluta fortsätter som vanligt att öka och detta är inte heller särskilt anmärkningsvärt. Det är relativt enkelt att genom webben injicera lite skadliga javascript som utvinner valuta. Och inte helt uppenbart olagligt.

Vem påverkas?

Det finns dessvärre ganska lite information om vilka som påverkas vilket egentligen talar för att alla påverkas. Betraktat ur ett branschperspektiv verkar telekommunikation verkar vara mest utsatta, därefter följt av utbildning och sedan transport. Det verkar inte spela någon roll på storleken i bolaget inom vertikalen.

Övriga iakttagelser

Den tveklöst vanligaste RAT:en är FlawedAmmyy.

Skadlig kod / Credential stealers Massiv ökning. Självklart intressant om vi sätter detta i relation till att många “avancerade” aktörsangrepp utgår just ifrån stulna credentials. Vi borde således rimligen kunna anta att dessa credential stealers inte endast avser cyberkriminella som vill sälja på darkweb utan statliga aktörer som vill få tag på credentials.

Christoffer Strömblad

Publicerad för ett år sedan