Akamai-analyse: een op de tien netwerken is geïnfecteerd met malware
Foto: Thapana_Studio – shutterstock.com
Volgens een Reportage van technologiebedrijf Akamai In elk kwartaal van vorig jaar had tussen de 10 en 16 procent van de organisaties DNS-verkeer van hun netwerken naar command and control (C2) servers. Deze worden geassocieerd met bekende botnets en vele andere malwarebedreigingen.
“Door kwaadaardig DNS-verkeer van zowel bedrijven als consumenten te analyseren, konden we meerdere uitbraken en campagnes identificeren, zoals de verspreiding van FluBot, een op Android gebaseerde malware die van land tot land over de hele wereld reist, evenals de verspreiding van verschillende groepen cybercriminelen gerichte bedrijven.
De onderzoekers wijzen met name op de grote aanwezigheid van C2-verkeer gerelateerd aan initial access brokers (IAB’s): meer dan een kwart van het geanalyseerde verkeer ging naar IAB-servers – dat wil zeggen, naar aanvallers die toegang tot bedrijfsnetwerken verkopen aan andere cybercriminelen.
Akamai beheert een grote DNS-infrastructuur voor een wereldwijd content delivery network (CDN) en andere cloud- en beveiligingsdiensten. Volgens het bedrijf is het in staat om tot zeven biljoen DNS-verzoeken per dag te monitoren. Omdat DNS-query’s proberen het IP-adres van een domeinnaam op te lossen, kunnen query’s die afkomstig zijn van bedrijfsnetwerken of thuisgebruikers, worden toegewezen aan bekende kwaadaardige domeinen. Dit omvat domeinen die phishing-sites hosten, malware leveren of C2 gebruiken.
Leestip: 5 DNS-aanvallen die u moet kennen
Een aanvraag voor een C2-domein duidt op een malware-infectie
Volgens de gegevens probeerde Akamai tussen de 9 en 13 procent van alle apparaten die elk kwartaal DNS-query’s maakten, het malwaredomein te bereiken. Tussen 4 procent en 6 procent van de verzoeken ging naar bekende phishing-domeinen en tussen 0,7 procent en 1 procent probeerde C2-domeinen te bereiken.
Op het eerste gezicht lijkt het percentage C2-domeinen klein in vergelijking met malwaredomeinen. Dit is echter een zeer grote groep apparaten die zeven biljoen DNS-query’s per dag kan genereren. Een verzoek aan een domein dat malware host, betekent niet noodzakelijkerwijs een succesvolle hack, aangezien malware kan worden gedetecteerd en geblokkeerd voordat deze op het apparaat wordt uitgevoerd. Een C2-domeinverzoek duidt echter op een actieve malware-infectie.
Bedrijven kunnen duizenden of tienduizenden apparaten op hun netwerk hebben. Zoals in de meeste gevallen van ransomware kan een enkel gehackt apparaat echter leiden tot een volledige overname van het netwerk. Aanvallers gebruiken zijwaartse bewegingstechnieken om tussen interne systemen te springen. Als we kijken naar de C2 DNS-gegevens van Akamai voor elke organisatie, is meer dan een op de tien organisaties het afgelopen jaar actief gecompromitteerd.
“Op basis van onze DNS-gegevens ontdekten we dat meer dan 30 procent van de geanalyseerde bedrijven met kwaadaardig C2-verkeer afkomstig was uit de productiesector”, aldus onderzoekers van Akamai. Daarnaast werden bedrijven in de zakelijke dienstverlening (15 procent), hightech (14 procent) en retail (12 procent) getroffen.De twee grootste branches in onze DNA-data (maak en zakelijke dienstverlening) komen ook overeen met grote branches, getroffen door de Conti-ransomware.”
Botnets zijn goed voor 44 procent van het kwaadwillende verkeer
Akamai heeft ook het C2-verkeer onderverdeeld in verschillende categorieën: botnets, initial access brokers (IAB’s), hackers, ransomware, trojans voor externe toegang (RAT’s) en andere. Botnets waren de belangrijkste categorie, goed voor 44 procent van het kwaadwillende C2-verkeer, en negeerden enkele opmerkelijke botnets zoals Emotet of Qakbot, waarvan de operators toegang tot systemen verkopen en dus meegeteld werden in de IAB-categorie. De meeste botnets kunnen echter technisch gezien worden gebruikt om aanvullende malware-payloads te leveren. Zelfs als hun eigenaren deze service niet openbaar verkopen, hebben sommigen van hen privédeals gesloten. Zo heeft het TrickBot-netwerk een privé-werkrelatie onderhouden met de cybercriminelen achter de Ryuk-ransomware.
Leestip: Emotet keert terug
De grootste bot die Akamai heeft opgemerkt in C2-verkeer vanuit bedrijfsomgevingen is QSnatch. Dit is gebaseerd op malware die specifiek de firmware van oudere QNAP NAS-apparaten infecteert. QSnatch verscheen voor het eerst in 2014 en is nog steeds actief. Volgens een CISA-rapport waren er wereldwijd meer dan 62.000 geïnfecteerde apparaten medio 2020. QSnatch blokkeert beveiligingsupdates en wordt gebruikt voor het verzamelen van inloggegevens, het vastleggen van wachtwoorden, externe toegang en datamining.
IAB’s waren de op een na grootste categorie in C2 DNS-verkeer – de belangrijkste bedreigingen in deze groep waren Emotet met 22 procent van alle geïnfecteerde machines en Qakbot met 4 procent. Emotet is een van de grootste en oudste botnets die door veel groepen cybercriminelen wordt gebruikt voor de eerste toegang tot bedrijfsnetwerken. Daarnaast is Emotet in de loop der jaren ook gebruikt om andere botnets zoals TrickBot en Qakbot te verspreiden.
Malware geassocieerd met bekende ransomware-groepen
In het jaar 2021 zijn wetshandhavingsinstanties uit vele landen, waaronder de Verenigde Staten, het Verenigd Koninkrijk, Canada, Duitsland en Nederland, erin geslaagd de commando- en controle-infrastructuur van botnets over te nemen. De verwijdering was echter van korte duur en de bots zijn nu weer in actie in een nieuwe versie. Emotet begon als Trojan voor internetbankieren, maar is geëvolueerd naar een multi-engine malwaredistributieplatform. Hiermee kunnen operators e-mails stelen, DDoS-aanvallen lanceren en nog veel meer. Emotet heeft ook banden gehad met ransomware-bendes, met name Conte.
Qakbot is, net als Emotet, een andere bot die wordt gebruikt om payloads te leveren en werkt samen met ransomware-bendes zoals Black Basta. Het is ook bekend dat de malware de Cobalt Strike-penetratietesttool gebruikt voor extra functies en uithoudingsvermogen en in staat is om informatie te stelen.
Hoewel bekend is dat botnets ransomware verspreiden, hebben deze bots, eenmaal ingezet, hun eigen C2’s, die ook worden weergegeven in de DNS-gegevens van Akamai. Meer dan 9 procent van de apparaten die C2-verkeer genereerden, deed dit voor domeinnamen die geassocieerd waren met bekende ransomware-bedreigingen. Hiervan waren REvil en LockBit het populairst.
“Onze recente analyse van de methodologie van moderne ransomware-groepen zoals Conti’s groep toonde aan dat geavanceerde aanvallers vaak toetsenbordgebaseerde operators gebruiken om snel en efficiënt door te gaan met de aanval”, aldus onderzoekers van Akamai. “De mogelijkheid om C2-verkeer te bekijken en te blokkeren kan van cruciaal belang zijn bij het stoppen van een lopende aanval.”
Infostealers waren de derde meest populaire categorie van C2-verkeer, goed voor 16 procent van de apparaten die door Akamai werden opgemerkt. Zoals de naam al doet vermoeden, wordt deze malware gebruikt om informatie te stelen die waardevol kan zijn voor aanvallers en verdere aanvallen mogelijk maakt. Dit omvat bijvoorbeeld gebruikersnamen en wachtwoorden voor verschillende services, authenticatiecookies die zijn opgeslagen in browsers en andere inloggegevens die lokaal zijn opgeslagen in andere applicaties. Ramnit, een modulaire tool voor informatiediefstal die ook kan worden gebruikt om aanvullende malware te verspreiden, vormde de grootste dreiging in deze categorie. Andere opmerkelijke bedreigingen die in C2-verkeer worden waargenomen, zijn onder meer Cobalt Strike, Tesla RAT-agent, Pykspa-worm en het polymorfe virus Virut. (G)
“Analist. Schepper. Zombiefanaat. Fervente reisjunkie. Popcultuurexpert. Alcoholfan.”