Toolkits voor cyberaanvallen domineren landschap van internetdreigingen ~ Symantec-rapport laat zien dat eenvoudig gebruik en winstgevendheid van kits leiden tot snellere verspreiding van aanvallen en een grotere groep van aanvallers ~

Utrecht, 19 januari 2011 - Symantec Corp. (Nasdaq: SYMC) maakt de resultaten bekend van zijn rapport over Attack Toolkits en Malicious Websites (http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=attackkits&om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2011Jan_worldwide_attacktoolkits). Het onderzoek laat zien dat doordat attack kits toegankelijker en relatief eenvoudiger in gebruik zijn, deze steeds vaker worden gebruikt. Dit heeft ervoor gezorgd dat traditionele criminelen, die anders onvoldoende technische kennis zouden hebben, naar cybercrime worden geleid.

Attack toolkits zijn softwareprogramma's die zowel door beginners als experts kunnen worden gebruikt voor het faciliteren van wijdverspreide aanvallen op netwerkcomputers. Deze kits stellen de belager in staat eenvoudig diverse vooraf geschreven dreigingen tegen computersystemen te lanceren. Ze maken het ook mogelijk dreigingen aan te passen, om zo opsporing te ontwijken en het aanvalsproces te automatiseren.

Attack kits domineren het landschap
De relatieve eenvoud en effectiviteit van attack kits hebben ervoor gezorgd dat zij steeds vaker worden gebruikt voor cybercrime. Deze kits worden nu in het overgrote deel van kwaadaardige internetaanvallen gebruikt. De kit Zeus vormt bijvoorbeeld een grote bedreiging voor kleine bedrijven. Het belangrijkste doel van Zeus is het stelen van bankgegevens. Veel kleine bedrijven hebben helaas minder middelen ingezet voor het beschermen van hun financiële transacties, waardoor zij een hoofddoel vormen voor Zeus.

De winstgevendheid van kwaadaardige internetaanvallen die gebruik maken van Zeus werd in september 2010 nog geïllustreerd door de arrestaties van verschillende cybercriminelen. Naar men zegt, hebben zij gebruik gemaakt van een Zeus botnet om binnen 18 maanden meer dan $70 miljoen te stelen van online bankrekeningen.

Nu cyber-aanvallen steeds meer geld opleveren, is de populariteit van attack kits enorm vergroot. Dit heeft daarom ook geleid tot kits die robuuster en geavanceerder zijn. Deze kits worden steeds vaker via een abonnement verkocht en bevatten regelmatige updates, componenten waardoor de mogelijkheden beter benut kunnen worden en ondersteunende diensten. Cybercriminelen gaan steeds professioneler te werk, zo maken zij gebruik van commerciële middelen voor antipiraterij om ervoor te zorgen dat aanvallers niets gebruiken zonder te betalen.

Snellere verspreiding van aanvallen
Doordat ontwikkelaars van attack kits innovaties integreren in hun producten, is de snelheid waarmee nieuwe kwetsbaarheden wereldwijd verspreid worden gegroeid. Het is nu vrij eenvoudig om attack kits te updaten, waardoor ontwikkelaars snel codes kunnen toevoegen voor nieuwe kwetsbaarheden. Het gevolg is dat sommige exploitaties nog rondzwerven dagen nadat de daarmee gepaard gaande kwetsbaarheid openbaar wordt. Aanvallers die in staat zijn om gemakkelijk attack kits te updaten met recente exploitaties zijn in staat om zich op potentiële slachtoffers te richten voordat zij de benodigde patches toepassen.

Een nieuwe ingang tot de criminele economie
Omdat attack kits steeds eenvoudiger in gebruik zijn, is cybercrime niet langer alleen weggelegd voor diegenen met uitgebreide programmeerkennis. Cybercriminelen kiezen nu een mix van individuen met computerkennis en diegenen die kennis hebben in traditionele criminele activiteiten, zoals het witwassen van geld. Symantec verwacht dat wanneer deze ontwikkeling zich voortzet en een veel grotere groep van criminelen toetreedt tot cybercrime dit zal leiden tot een verhoging in het aantal aanvallen.

"In het verleden moesten hackers hun dreigingen helemaal zelf ontwikkelen. Dit complexe proces zorgde ervoor dat er slechts een kleine groep van cybercriminelen bestond", zegt Tom Welling, Sr. Technical Account Manager bij Symantec. "De huidige attack toolkits maken het zelfs voor beginnelingen relatief gemakkelijk om een cyberaanval te ontwikkelen. Wij verwachten daarom op dit gebied steeds meer criminele activiteiten en een grote waarschijnlijkheid dat de gemiddelde gebruiker het slachtoffer zal worden van cybercrime."

Aanvullende feiten:

- De populariteit en vraag hebben de kosten voor attack kits verhoogd. In 2006 werd WebAttacker, een populaire attack kit verkocht voor $15. In 2010 werd de ZeuS 2.0 voor $8.000 aangeboden.
- Secundaire diensten zijn ontstaan om nietsvermoedende gebruikers naar kwaadaardige websites te leiden waar hun computers kunnen worden aangetast. Gebruikte tactieken zijn spam-campagnes, black hat zoekmachine optimalisatie (SEO), het injecteren van codes in legitieme websites en geïnfecteerde advertenties.
- Symantec onderzocht meer dan 310.000 unieke domeinen die kwaadaardig bleken te zijn. Gemiddeld resulteerde dit in de opsporing van meer dan 4,4 miljoen kwaadaardige webpagina's per maand.
- Van de door Symantec opgespoorde dreigingsactiviteiten op het internet tijdens de onderzoeksperiode, was 61 procent terug te leiden naar attack kits.
- De meest heersende attack kits zijn MPack , Neosploit, ZeuS, Nukesploit P4ck en Phoenix.
- De zoekresultaten die het meest leidde tot kwaadaardige website bezoeken waren de resultaten voor pornografische websites, in totaal gold dit voor 44 procent van de zoektermen.

Afzwakken van aanvallen

- Organisaties en eindgebruikers moeten ervoor zorgen dat alle beveiligingssoftware up-to-date is met de patches van de verkoper. Oplossingen voor het beheer van bezittingen en patches kunnen ervoor zorgen dat de systemen flexibel zijn en patches implementeren op systemen die niet up-to-date zijn.
- Organisaties moeten beleid opstellen voor het beperken van het gebruik van browser software en browser plug-ins die de gebruikers binnen de organisatie niet nodig hebben.
- Organisaties kunnen voordelen halen uit het gebruik van oplossingen voor IP black listing en voor reputaties van websites. Websites die bekend staan om het hosten van attack toolkits en daarmee samenhangende bedreigingen kunnen dan geblokkeerd worden.
- Anti-virus (http://bit.ly/dFCCoN) en systemen voor inbraakpreventie (http://www.symantec.com/business/endpoint-protection?om_ext_cid=biz_socmed_twitter_facebook_marketwire_linkedin_2011Jan_worldwide_attacktoolkits) kunnen worden geïmplementeerd om de exploitatie en installatie van kwetsbare codes op te sporen en te voorkomen.

Bronnen

· Press Kit: Report on Attack Toolkits and Malicious Websites
· Press Kit: Internet Security Threat Report, Volume 15
· Report: Internet Security Threat Report, Volume 15
· SlideShare Presentation: Attack Toolkits and Malicious Websites
· Infographic: Malicious Attack Process -- How Data is Stolen Online
· Infographic: SEO Attack Process -- How SEO is Used to Launch an Attack
· Infographic: Symantec Attack Kit Evolution Timeline
· Video: Attack Toolkits in 90 Seconds

· Video: Quick Guides to Scary Internet Stuff, No. 10: Web Attack Toolkits
· Expert Biography: Marc Fossi

· Expert Biography: Steve Trilling