Nyckelinsikter

  • Angripare är ute efter största möjliga avkastning för minsta möjliga risk och med minsta möjliga insats. Detta innebär att angripare idag fokuserar alltmer på riktade angrepp. I dessa riktade angrepp används fortfarande e-post som huvudsaklig vektor och då gärna med länk till en betrodd tredjepartssajt som exempelvis Google Drive, OneDrive eller Dropbox.
  • Betrodda länkar pekar oftast på en skadlig fil som ska laddas ner, kanske skyddad genom ett lösenord. Filtyperna som används är oftast någon form av Office-dokument (DOC/DOCX/XLS/XLSX).
  • Oftast är angriparna ute efter kortuppgifter, inloggningsuppgifter eller finansiell information.

Inledning

Markus på Inuit AB tipsade mig om att TrustWave nyligen släppt sin Global Security Threat Report för 2020. Jag spenderade några timmar i helgen med att läsa igenom och reflektera lite kring innehållet. Jag försökte besvara följande frågor när jag läste: Vem utsätts? Vad och hur utsätts de? Vad är angriparna ute efter? Och så övriga observationer.

Detta är resultatet av denna sammanfattning.

Vilka utsätts?

Enligt TrustWave finns det en majoritet representerad genom följande branscher/industrier:

  • Retail
  • Bank, finans och försäkring
  • Hotell och restaurang

Dessa utgör tillsammans över 50% av de incidenter som TrustWave har utrett.

Hur utsätts de?

Klassiska vektorer, phishing och skadliga länkar/filer

Hälften av incidenterna börjar med phishing och social engineering. Allt oftare utsätts företagen för riktade kampanjer där exempelvis botnätet Necurs har observerats göra korta och mer riktade kampanjer. Företagen kommer att få ta emot e-post med länkar till betrodda tredjepartstjänster som Google Drive, Dropbox och Microsoft OneDrive. Om inte en länk är det oftast en Office-fil bifogad mejlet eller kanske en packad fil av typen RAR, ZIP eller ISO.

Nästan hälften av alla mejl med bifogade, skadliga filer, använder någon typ av Office-dokument. När det kommer till bifogade filer gäller följande: DOC/DOCX tillsammans med EXE (>70%) och resterande ungefär HTML, XLS, XLSX och RTF.

Business Email Compromise (BEC)

Business Email Compromise (BEC) är en slags phishing där angripare försöker lura en mottagare att utföra exempelvis en pngaöverföring. De gör detta genom att låtsas vara en chef eller annan VIP.

Webskimmers

Webskimmers används för att stjäla kortuppgifter direkt från de hemsidor där konsumenter kan använda sina kreditkort. Vanligtvis börjar det med att en sårbarhet utnyttjas för att installera ett slimmat javascript som interceptar inmatning av kreditkort och skeppar iväg dessa till angriparen.

Vad är angriparna ute efter?

De klassiska trotjänarna:

  • Card not present (CNP), alltså kreditkortsuppgifter
  • Inloggningsuppgifter
  • Finansiella data (vilket jag fortfarande inte lyckats klura ut vad detta innebär...)
  • Ransom
  • Immaterielrättslig information

Övriga observationer

Kanske en petitess, men jag hakar upp mig på att de säger att de "collecting intelligence". Men jag vill med viss bestämdhet hävda att man samlar inte intelligence, man producerar det. Man samlar in information och data, sedan analyserar man dessa och producerar genom denna analys intelligence. Jag hakar upp mig på sådana saker då det direkt får mig att undra... använder de threat intelligence endast som en marknadsföringsgrej?

Sidorna 33 till 35 beskriver lite om Emotet, men inget i min värld särskilt användbart.
Sidorna 36 till 37 lite om Webangrepp, inte heller det särskilt användbart.
Sidorna 39 till 45 om diverse sårbarheter... men... nja, inte heller särskilt användbart tycker jag. De gör någon jämförelse mellan olika industrier och vilka sårbarheter (CVE:er) som utnyttjas där. För att kunna dra några slutsatser ur detta blir underlagen väldigt viktiga. Hur många företag är representerade? Hur stort är urvalet? Finns det sample bias?

Exploitkits verkar fortsätta vara ett relativt ovanligt fenomen även om det finns några uppstickare här och där, men som snabbt dör ut.