Trend Micro Research vindt zowel lokale als cloudgebaseerde servers die gecompromitteerd zijn door de criminele onderwereld

Inzicht in de infrastructuur achter cybercriminaliteit helpt het detecteren en stoppen van activiteiten

Amsterdam, 1 september 2020 - Trend Micro, wereldleider in cybersecurity oplossingen, presenteert vandaag een onderzoek dat laat zien dat lokale en cloudgebaseerde servers worden gecompromitteerd, misbruikt en verhuurd als onderdeel van een geavanceerd crimineel netwerk dat daarmee flink veel inkomsten genereert.

Dit rapport is onderdeel van een driedelige rapport-serie naar hoe de ondergrondse hosting-markt werkt. Een van de belangrijkste conclusies uit het rapport is dat cryptocurrency mining-activiteit altijd een indicator zou moeten zijn voor IT-teams om zeer alert te zijn. Terwijl cryptomining op zichzelf geen disruptie of financiële verliezen veroorzaakt, wordt mining-software vaak door cybercriminelen ingezet om geld te verdienen aan inactieve servers die zij gecompromitteerd hebben. Deze mining is echter vaak een voorbode voor andere, meer schadelijke activiteiten zoals het stelen van waardevolle data, het verkopen van toegang tot servers voor verder misbruik of het voorbereiden van een gerichte ransomware-aanval. Alle servers waarop cryptominers ontdekt worden zouden daarom zo snel mogelijk onderzocht en hersteld moeten worden.

“Van toegewijde bulletproof hosting tot geanonimiseerde services, domeinnaam-provisioning en gecompromitteerde legitieme activa, de cybercriminele onderwereld beschikt over brede infrastructurele mogelijkheden om inkomsten te genereren”, zegt Bob McArdle, Director of Forward-Looking Threat Research bij Trend Micro. “Ons doel is bewustzijn en begrip over de cybercriminele infrastructuur te creëren om zo politie en justitie, klanten en andere onderzoekers te helpen cybercrime te blokkeren en de kosten voor deze criminelen op te drijven.”

Het rapport benoemt de belangrijkste ondergrondse hosting-services die vandaag de dag beschikbaar zijn, inclusief technische details over de werkwijze van criminelen. Dit omvat een gedetailleerde omschrijving van de typische levenscyclus van een gecompromitteerde server: van de eerste inbraak tot de laatste aanval. Vooral cloudservers lopen risico gecompromitteerd en gebruikt te worden in de ondergrondse hosting-infrastructuur omdat zij vaak de bescherming missen waarover hun lokale tegenhangers wel beschikken. 

McArdle: “Gecompromitteerde legitieme corporate activa kan ongeacht of het zich lokaal of in de cloud bevindt, geïnfiltreerd of misbruikt worden. Een goede vuistregel is dat wat het meest wordt blootgesteld, waarschijnlijk ook het meest wordt uitgebuit.”

Cybercriminelen proberen verder kwetsbaarheden in server-software te misbruiken, brute-force attacks te gebruiken om inloggegevens te compromitteren of log-ins te stelen en malware in te zetten via phishing-aanvallen. Ze zouden zich zelfs op infrastructuur management software (cloud API keys) kunnen richten, wat hen de mogelijkheid geeft nieuwe virtuele machines te creëren. Eenmaal gecompromitteerd kan cloudserver-activa verkocht worden op ondergrondse fora, specifieke marktplaatsen en zelfs op social media voor gebruik in verschillende soorten aanvallen.

Het rapport behandelt verder opkomende trends voor ondergrondse infrastructurele services, waaronder misbruik van teleservices en satelliet-infrastructuur en “parasitische” computing die gehuurd kan worden, inclusief verborgen RDP en VNC. 

Om het volledige tweede rapport in deze serie te lezen, klik hier