In de tweede helft van 2022 is een voorspelde, maar opvallend sterk toenemende trend door onze SOC gedetecteerd. Een toename van geautomatiseerde aanvallen.
Alle apparaten die verbonden zijn met het internet krijgen vroeg of laat te maken met merkwaardige bezoekers. Of het nu gaat om een camerasysteem, SCADA-systeem óf webwinkel. Vaak gaat het om geautomatiseerde verkenningspogingen. Het begint meestal met de ontdekking van een nieuwe kwetsbaarheid. Vervolgens wordt een detectiemethode geschreven die op zoek gaat naar doelwitten die gevoelig zijn voor de nieuwe kwetsbaarheid. Zodra een doelwit gevonden is verschilt het vervolg.
Bij websites, webshops en webapplicaties zien we vaak dat er na detectie een korte pauze valt. Het lijkt er op dat er na detectie sprake is van menselijke beoordeling. Binnen 24 uur tot een week komt er vervolgens een aanval die voor dit type doelwit vrijwel altijd ook geautomatiseerd is. Waarschijnlijk omdat het om bulkaanvallen gaat die niet gericht zijn. Het doel is om de kwetsbaarheid uit te buiten en het systeem binnen te dringen.
In dit type aanval is het doel vrijwel altijd economisch. De webaanwezigheid wordt voorzien van een zogenaamde backdoor. Hierdoor kunnen de aanvallers op een later tijdstip makkelijker terug naar binnen. Als deze backdoor eenmaal geplaatst is dan maakt het ook niet meer uit of de kwetsbaarheid middels een update opgelost wordt. De aanvallers zijn dan al binnen. Het is voor hen daarom een race tegen de klok om de updates voor te zijn.
Nadat de backdoor geplaatst is gebeuren er verschillende opvolgende acties. Deze zijn gericht op het verzekeren van toekomstige toegang, het onopvallend blijven én natuurlijk het hoofddoel; er iets aan overhouden. Zoals gezegd is dit type aanval tegenwoordig vrijwel altijd economisch. Mogelijke vervolgen zijn dan ook dat de server gebruikt wordt om spam e-mails te versturen, afrekenmomenten door te sturen naar kwaadaardige kassa's, creditcardgegevens te stelen of klantgegevens buit te maken om later te koop aan te bieden aan andere criminelen.
De tweede helft van 2022 laat een sterke toename in detectiepogingen van kwetsbaarheden zien. Dat was voorzien. Het wereldwijde verslechterde economisch klimaat draagt hier historisch gezien altijd aan bij.
Naast het up-to-date houden van uw systemen is het aan te raden om de monitoring in het laatste kwartaal te verscherpen. Met name in online retail.