För några dagar sedan publicerade Proofpoint sen senaste hotrapport, den här gången för Q4 2018. Det är en relativt kort och enkel rapport att ta sig igenom. Den gräver inte särskilt djupt utan ger en övergripande blick av det globala hotlandskapet. Dess “underrättelse”-värde är således tämligen begränsat, men några intressanta insikter går ändå att dra.

Nyckelinsikter

  • Där pengarna finns, finns även en stor del av de cyberkriminella. 
  • Skadlig kod som stjäl inloggningsuppgifter fortsätter öka massivt, och så även RATs och Downloaders.
  • inför SPF för att hindra en majoritet av alla försök till e-postbedrägerier

Följ pengarna

Det är ett återkommande tema, och ett egentligen ganska uppenbart sådant. De cyberkriminella finns där pengarna finns. Med andra ord banktrojaner, Business Email Compromise (BEC, e-postbedrägerier) och utvinning av kryptovaluta. Dessa är majoritetsägare i brottsligheten.

  • En utredningspunkt som vore intressant att titta närmre på är om huruvida banktrojaner som Emotet har stöd för svenska banker, vilket jag misstänker att de inte har. Sverige är också tämligen framåt på det här med fler-faktors autentisering hos bankerna vilket försvårar angrepp på bred skala, men inte nödvändigtvis för riktade angrepp.

BEC-attacker fortsätter att öka och värt att notera i det här sammanhanget är att många företag som utsätts får sina egna domäner använda emot dem själva. Detta skulle enkelt kunna förhindras med hjälp av ett SPF-record i DNS, och sedan får de gärna utökas med DKIM och DMARC givetvis.

Utvinning av kryptovaluta fortsätter som vanligt att öka och detta är inte heller särskilt anmärkningsvärt. Det är relativt enkelt att genom webben injicera lite skadliga javascript som utvinner valuta. Och inte helt uppenbart olagligt.

Vem påverkas?

Det finns dessvärre ganska lite information om vilka som påverkas vilket egentligen talar för att alla påverkas. Betraktat ur ett branschperspektiv verkar telekommunikation verkar vara mest utsatta, därefter följt av utbildning och sedan transport. Det verkar inte spela någon roll på storleken i bolaget inom vertikalen.

Övriga iakttagelser

Den tveklöst vanligaste RAT:en är FlawedAmmyy.

  • Undersöka närmre, vad gör den speciell?

Skadlig kod / Credential stealers Massiv ökning. Självklart intressant om vi sätter detta i relation till att många “avancerade” aktörsangrepp utgår just ifrån stulna credentials. Vi borde således rimligen kunna anta att dessa credential stealers inte endast avser cyberkriminella som vill sälja på darkweb utan statliga aktörer som vill få tag på credentials.

  • Värt att analysera dessa och tillhörande C2-infrastruktur för att undersöka om någon sammanfaller med statliga aktörers aktivitet?