Beveiligingsexperts: hackers storten zich in 2018 op virtuele portemonnees waarin cryptomunten zijn opgeslagen

Kunstmatige intelligentie helpt de virusbestrijders, maar helaas ook de cybercriminelen

Net als de rest van de computergebruikers hebben cybercriminelen steeds verfijndere technieken tot hun beschikking.

Foto Arjen Born

Een jaar geleden voorspelden experts dat 2017 het jaar van de grootschalige ransomware-uitbraken en Internet-of-Things-besmettingen zou worden. Dat kwam uit. WannyCry en NotPetya veroorzaakten wereldwijd de nodige paniek. Wat staat ons in 2018 te wachten?

Cryptovaluta

Overal waar geld is, zijn criminelen. Nu er steeds meer geld omgaat in bitcoins, ethers, ripples en al die andere cryptomunten, waarschuwen beveiligingsexperts dus voor cybercriminelen.Volgens Eddy Willems van G-Data zullen hackers proberen zich toegang te verschaffen tot de virtuele portemonnees waarin de cryptomunten zijn opgeslagen.

Dat kan op mobieltjes zijn, op een pc of bij een grote derde partij zoals een marktplaats voor die munten. Vooral de consument is erg kwetsbaar, denkt Rense Buijen van Trend Micro: 'Die is erg ontvankelijk voor alles wat met bitcoins heeft te maken, aangestoken door de koerswinsten van het afgelopen jaar, maar snapt de techniek nog niet zo goed.'

Willems voorziet daarnaast een toename van cryptojacking-tools: scriptjes die op websites draaien en de computerkracht van de bezoekers gebruiken om cryptomunten zoals de monero te delven. Bezoekers hebben dat vaak zelf niet door en de opbrengsten vloeien rechtstreeks naar de cybercriminelen. 'Nu nog draaien die scriptjes op relatief kleine sites, maar ze zullen zeker gaan opduiken op grote mainstream sites', aldus Willems. En dat niet alleen: mining-scriptjes kunnen ook opduiken bij browser-plugins of op geïnfecteerde pc's.

Machine learning

Alle grote beveiligingsbedrijven en virusbestrijders gebruiken al langer kunstmatige intelligentie om grote hoeveelheden data te verwerken en hierop analyses uit te voeren. Verdacht gedrag wordt zo eerder opgespoord. Maar nu deep learning-gereedschap steeds laagdrempeliger wordt, kijken niet alleen de verdedigers, maar ook de aanvallers er met een meer dan geïnteresseerd oog naar, denkt zowel Willems als Buijen.

De wapenwedloop tussen aanvallers en verdedigers zal dan ook alleen maar verhevigen, zegt Steve Grobman, Chief Technology Officer van McAfee in zijn jaarlijkse trendrapport. 'We moeten ons ervan bewust worden dat technieken die het fundament vormen van de toekomstige cyberverdediging, zoals deep learning, ook door cybercriminelen gebruikt gaan worden.'

Ransomware

Alle waarschuwingen van een jaar geleden kwamen uit: ransomware was in 2017 alomtegenwoordig, met grootschalige uitbraken van onder andere WannaCry en NonPetya. De experts zijn het met elkaar eens: losgeldsoftware is een blijvertje. Afpersing is een aantrekkelijk businessmodel en ransomware geldt als het zeer laagdrempelige gereedschap hiervoor.

Martijn van Lom van Kaspersky verwacht wel dat de criminelen zich steeds meer op grote industrieën of branches zullen richten die extra gevoelig voor afpersing zijn, zoals energiebedrijven en de gezondheidszorg. 'Hun enige drijfveer is geld, dus dan kijk je naar de plekken waar het meest is te halen.'

Harm van Koppen van Sophos ziet daarbij de laagdrempeligheid als katalysator. 'Op het dark web kun je heel eenvoudig een ransomwarepakketje kopen. Voor een paar honderd dollar kun je zo een groep besmetten en niemand die er achter komt.'

Ook voorspelt Van Koppen dat NonPetya slechts een test was: 'Volgend jaar gaan we pas de échte uitbraak in volle hevigheid zien.'

Willems van G-Data tot slot denkt dat er steeds meer pseudo-ransomware komt: software die zich vermomt als ransomware, maar eigenlijk iets anders doet. 'We zagen dat al bij NonPetya, dat feitelijk bedoeld was om Oekraïne plat te leggen en niet zozeer om losgeld te verkrijgen.'

Internet of Things

Nog zo'n blijvertje: IoT. Al is het maar omdat steeds meer apparaten aan internet worden gehangen. En dat lang niet alle fabrikanten beveiliging serieus nemen, weet Buijen van Trend Micro: 'Bij Samsung, Apple en Amazon zit het wel snor, maar ik vrees voor goedkope kopieën uit China. Er is daar geen aandacht voor zelfs maar de rudimentairste vorm van beveiliging. Dat loopt gewoon niet goed af.'

Gekaapte stappentellers, smartwatches, praatpalen, koelkasten, camera's, routers of wat dan ook kunnen niet alleen persoonlijke informatie over hun gebruikers prijsgeven, maar ook worden ingezet als onderdeel van een aanvalsnetwerk van hackers. Van Koppen van Sophos denkt wel dat er een verschuiving gaat plaatsvinden van de huiskamer naar kantoor: 'Mensen gaan de goedkope IoT-rommel die ze op AliExpress bestellen gewoon op het bedrijfsnetwerk aansluiten. Alles wordt maar klakkeloos aan internet gehangen. En zo halen systeembeheerders ellende binnen. Het wordt voor ict-managers heel moeilijk om greep te houden op alles wat er op hun netwerk gebeurt.'

Mobiel

Willems van G-Data verbaast zich erover dat mensen nog altijd denken dat hun mobieltje wel veilig is, ook zonder beveiligingssoftware. 'Ze gaan er heel lichtzinnig mee om. Ik vrees voor een botnet op grote schaal via gekaapte telefoons.'

Ook Kaspersky ziet een totaal gebrek aan beveiliging, wat vooral op Android-toestellen een probleem is. Van Lom: 'Mensen blijven maar als dollemannen alle apps installeren, zelfs buiten de PlayStore om. Dat is vragen om moeilijkheden, want ze hebben geen enkele bescherming.'

Een besmet mobieltje kan feitelijk overal voor worden gebruikt. In december waarschuwde Kaspersky nog voor het schadelijke programmaatje Loapi. Dit Zwitserse zakmes onder de virussen is alles in één: het kan andere malware installeren, sms'jes kapen, DDoS-aanvallen uitvoeren, pop-upreclame opdringen en ongevraagd abonnementen afsluiten. Loapi kan de gebruiker ook om de tuin leiden: het doet of het antivirussoftware is en overtuigt de gebruiker om de echte beveiliging uit te schakelen. Tot slot kan het Android-virus de rekenkracht van een getroffen apparaat gebruiken om de cryptomunt monero te delven.

Good old Office

Met alle nieuwe hippe dreigingen zouden we bijna vergeten dat er ook nog zoiets als Office bestaat, waarschuwt Sophos' Van Koppen ten slotte. Word heeft een zwakke plek genaamd Dynamic Data Exchange (DDE) dat kan worden misbruikt. Aanvallers kunnen op deze manier kwaadaardige code uitvoeren nadat de nietsvermoedende gebruiker een popupje met de mededeling 'Word can't get the data' heeft aangeklikt. Dit kan in de instellingen worden uitgezet, maar Van Koppen vindt dat Microsoft het gat zo snel mogelijk moet dichten.