De 10 grootste beveiligingsbedreigingen van 2021 en wat we ervan kunnen leren

Naast alle uitdagingen waarmee we in 2021 al te maken kregen, leken kwaadwillende dreigingsactoren die zich op macOS- en iOS-apparaten richtten geen moment te rusten. Sterker nog, er is niet alleen sprake van een toename van beveiligingsbedreigingen voor het Apple-ecosysteem, de aanvallen waren ook sterk vernieuwend. Bestaande aanvalstactieken werden opnieuw vormgegeven, er kwamen nieuwe bedreigingen en ook werden meerdere bedreigingen gecombineerd om meervoudige aanvallen te creëren. Met deze pogingen probeerden cybercriminelen op verschillende manieren devices te besmetten en compromitteren, daarbij tegelijkertijd ruimte creërend voor toekomstige, nog niet ontwikkelde aanvalsvormen.

In deze blog bespreken we 10 beveiligingsbedreigingen en kwetsbaarheden die in 2021 van invloed waren op de eindpuntbeveiliging van macOS en iOS, waartoe ze in staat waren en waarom ze zo vernietigend waren.

Doc Brown

De populariteit van macOS onder zowel persoonlijke als zakelijke gebruikers blijft groeien. En met goede reden! In de laatste jaren zijn er verschillende geweldige computers uitgebracht. Denk maar aan de dunnere, lichtere en krachtigere laptops van de MacBook Pro-familie en de verdergaande ontwikkeling van de M1 silicon-on-a-chip (SoC)-architectuur, waarmee betere prestaties en meer efficiëntie kunnen worden bereikt. Het is dus geen verrassing dat in 2021 wel acht nieuwe malwarefamilies een bedreiging vormden voor macOS, aldus Patrick Wardle, onderzoeker op het gebied van Apple-beveiliging.

1. XLoader: in eerste instantie ontwikkeld voor Windows, maar de ontwikkelaars van XLoader wisten ook een Mach-O-binary te creëren die door kwaadwillenden in een gehoste omgeving werd aangeboden als malware-as-a-service. Hiermee kan iedereen een eigen vorm van op XLoader-gebaseerde malware ontwikkelen als een macOS-binary of .jar-bestand, om creditcardgegevens te stelen en toetsaanslagen te registreren.

2. XCSSET: de door Jamf Threat Labs opgespoorde XCSSET-malware infecteert Xcode-werkstromen, en zorgt voor een omleiding van Apple’s TCC-bescherming, waardoor de privacy in gevaar komt. De malware maakte gebruik van tot dan toe onbekende kwetsbaarheden door stiekem de rechten van een bestaande app te verkrijgen, om vervolgens een unieke app te creëren met de vooraf goedgekeurde rechten van die oudere app. Het resultaat? Een kwaadaardige app die werkt met privacy-schendende rechten die de gebruiker nooit heeft goedgekeurd.

3. Log4j: deze op Java gebaseerde software was niet alleen een bedreiging voor macOS en trof computers over de hele wereld. Gezien het grote aantal systemen dat op Java-bibliotheken vertrouwt voor het draaien van apps en diensten, was de schade aanzienlijk. Maar omdat de aanval tijdens de kerstvakantie plaatsvond, waren de gevolgen ernstiger. Veel organisaties moesten met noodoplossingen voor IT komen, totdat de patches er waren waarmee het probleem kon worden opgelost.

4. Shlayer: Jamf Threat Labs nam nog een malwarebedreiging waar die aan de aandacht van Gatekeeper was ontsnapt. Deze variant van Shlayer maakt met een kwaadaardig script een applicatiebundel waarmee een van het internet gedownloade app-bundel kan worden uitgevoerd en File Quarantine, Gatekeeper en Notarization worden overgeslagen.

5. Silver Sparrow: dit framework had een aantal noviteiten op het gebied van Mac-malware voor ons in petto. Zo rapporteerde het de infectie- en persistentiestatus terug aan de makers, bevatte het een Java-code die een C2-functionaliteit installeert voor toekomstige aanvallen en was het de eerste malware die native draait op Apple's M1-architectuur.

6. Sudo-escalatie: 'rooting' is een terugkerend onderdeel van veel aanvalsstrategieën en de kwetsbaarheid waargenomen bij CVE-2021-3156 bleek niet alleen aanwezig bij Unix-, maar ook bij macOS-systemen. In wezen kunnen kwaadwillende gebruikers zichzelf hiermee rechten op sudo-niveau geven, en elke IT-beheerder weet dat dat geen goed idee is.

Marty McFly

Veel organisaties zijn van start gegaan met vormen van hybride werken en werken op afstand. De daarbij gebruikte krachtige, mobiele technologieën zijn aantrekkelijk voor elke organisatie die flexibeler wil zijn en medewerkers in de gelegenheid wil stellen om overal en op elk moment te werken. Maar hier zijn ook nadelen aan verbonden. In dit geval betreft dat een groter risico voor de beveiliging van mobiele eindpunten tegen spyware, kwetsbaarheden en persistente malware (ja, dat heb je goed gelezen!).

7. PoC-persistentie: de meeste iOS-malware draait in het geheugen, zodat bij het opnieuw opstarten van het device de malware gewist wordt uit de lopende processen en opnieuw moet worden uitgevoerd. Net als bij macOS was het vanwege persistentie altijd al mogelijk om malware te blijven draaien, ook na een herstart, maar het werd onmogelijk geacht bij iOS. Maar een onderzoeksteam voor cyberbeveiliging heeft een kwetsbaarheid vastgesteld bij hoe iOS feedback verwerkt, waardoor malware in het geheugen kan blijven werken zonder gebruik te maken van een nog onbekende kwetsbaarheid. Daarmee is deze nauwelijks waarneembaar voor gebruikers.

8. CVE-2021-30883: deze kwetsbaarheid laat goed zien hoe belangrijk het is om je patchbeheer bij te houden, door een app toe te staan om een arbitraire code uit te laten voeren met kernelrechten. In wezen kunnen criminelen hiermee lokale rechten escaleren en ontsnappen uit de app-sandbox. De app kan worden gecombineerd om gezamenlijk een veel krachtigere aanval uit te voeren.

9. Pegasus: deze gerichte spyware waarmee wetshandhavers gegevens verzamelen van verdachte criminelen kwam groots in het nieuws, nadat Amnesty International ontdekte dat de software werd gebruikt tegen journalisten, activisten en dissidenten. Pegasus werd uiteindelijk gekoppeld aan tot dan toe onbekende kwetsbaarheden in iMessage en WhatsApp, in een campagne met 'zero-click-aanvallen', waarbij de spyware automatisch werd geïnstalleerd zonder dat gebruikers berichten beantwoordden of gesprekken aannamen.

10. XcodeSpy: deze malware wordt gezien als een aanval op de toevoerketen, waarbij Xcode-projecten worden geïnfecteerd die op legitieme wijze worden gebruikt door Apple-ontwikkelaars die werken aan nieuwe apps. Hiermee bedreigen kwaadwilligen niet alleen het hele ontwikkelingsproces, maar verkrijgen ze ook toegang tot allerlei doelen van iedereen die de getroffen software op een iOS-device installeert.

Back to the future

In deze hitfilm uit de jaren 80 keert de hoofdfiguur terug naar het heden na een bezoek aan het verleden. Hij ontdekt dat sommige dingen onveranderd zijn, terwijl andere gebeurtenissen in de toekomst anders zijn geworden. Wat dat betreft, zijn er parallellen te trekken tussen Back to the future en Mac-cyberbeveiliging Zo wordt de eerder besproken malware niet alleen nog gebruikt, maar is het ook een springplank geworden voor kwaadwilligen die nieuwere, sluwere methoden willen ontwikkelen om malware te distribueren, devices te infecteren en gegevens te stelen.

Ransomware

Ransomware is ook altijd een bedreiging gebleven, en een die steeds dominanter en verfijnder begint te worden. Voor de kwaadwilligen in onze wereld heeft ransomware nog nooit een aantrekkelijker verdienmodel geboden dan vandaag.

Volgens dit artikel in Bloomberg 'ging in de eerste zes maanden van 2021 $ 590 miljoen USD om in aan ransomware gerelateerde verdachte activiteiten'. Hoeveel dat was in 2020, wilde je weten? $ 416 miljoen USD voor het hele jaar!

En alsof dat nog niet ernstig genoeg is, doemt er een nog grotere bedreiging op: Ransomware-as-a-Service (RaaS). Juist; ook de ontwikkelaars van ransomware hebben de cloud ontdekt, vanwaaruit ze toegang tot hun infrastructuur verhuren of verkopen aan kwaadwilligen die aanvallen met ransomware willen uitvoeren, maar niet beschikken over de technologische kennis of middelen om zelf zo'n campagne op touw te zetten.

Er bestaan al verschillende RaaS-modellen. Zo zijn er maandelijkse abonnementen, partnerprogramma's waarbij de aanbieders een percentage van de buit krijgen, programma's met winstdeling en eenmalige licentiekosten. En vergis je niet, met een gemiddelde winst van $ 10 miljoen USD per geslaagde campagne, hebben de aanbieders van turn-key cybercrime voldoende reden om de infrastructuur te onderhouden. Onderzoekers waarschuwen dat RaaS in het afgelopen jaar al goed was voor bijna tweederde van de ransomwarecampagnes.

Maar er is niet alleen maar slecht nieuws. Nee, we hebben geen prachtige DeLorean waarmee we terug kunnen reizen naar eenvoudigere tijden, maar de FBI heeft enkele uitstekende aanbevelingen gedaan over hoe je je organisatie beter kunt beschermen tegen de risico's van ransomware-bedreigingen.