Cybercriminelen zijn overgestapt op nieuwe tactieken naar aanleiding van de aankondigingen van Microsoft dat macro's standaard worden geblokkeerd in Microsoft Office-applicaties. Dit blijkt uit nieuw onderzoek van Proofpoint. Aanvallers hebben op Microsoft gereageerd door af te stappen van op macro's gebaseerde aanvallen en in plaats daarvan meer gebruik maken van containerformats om malware te verspreiden. Proofpoint heeft geconstateerd dat het gebruik van VBA- en XL4-macro's met ongeveer 66% is afgenomen tussen oktober 2021 en juni 2022. Proofpoint stelt dat dit "een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen in de recente geschiedenis" is.
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.
Containerbestanden in plaats van macro's
Op basis van data van Proofpoint tussen oktober 2021 tot en met juni 2022 blijkt dat het gebruik van documenten met macro's om malware te verspreiden met 66% is afgenomen. Daar staat tegenover dat criminelen steeds vaker kiezen voor containerbestanden zoals ISO- en RAR-bijlagen en Windows snelkoppelingen (LNK-bestanden).
VBA-macro's worden door cybercriminelen gebruikt om automatisch malafide content uit te voeren wanneer een gebruiker macro's heeft ingeschakeld in Office-applicaties. XL4-macro's zijn specifiek voor Excel bedoeld, maar kunnen ook als wapen worden gebruikt door aanvallers. Doorgaans maken criminelen die documenten met macro's verspreiden gebruik van social engineering om de ontvanger ervan te overtuigen dat de inhoud belangrijk is en dat macro's moeten worden ingeschakeld om deze te kunnen bekijken.
Voorbeeld van een Excel-bijlage met Emotet uit een recente campagne
Aanval via macro's gaan ook nog door
Onderzoekers van Proofpoint verwachtten dat aanvallers zouden afstappen van documenten met macro's die als bijlagen bij het bericht zijn gevoegd of via een URL zijn gedownload om de verdediging van Microsoft te omzeilen. Hoewel Proofpoint een opvallende toename van andere soorten bijlagen heeft waargenomen, worden documenten met macro's nog steeds in het hele bedreigingslandschap gebruikt. Onderzoekers van Proofpoint onderzochten het gebruik van meerdere bestandstypen vanaf oktober 2021 tot en met juni 2022 om het bedreigingslandschap beter te begrijpen en te anticiperen op toekomstig gedrag.
Mark of the Web omzeilen
Microsoft gaat VBA-macro's blokkeren op basis van een zogeheten Mark of the Web (MOTW)-attribuut dat aangeeft of een bestand van het internet komt, bekend als de Zone.Identifier. Microsoft-applicaties voegen dit kenmerk toe aan documenten die van het internet worden gedownload. MOTW kan echter worden omzeild door containerformats te gebruiken.
Aanvallers kunnen containerformats zoals ISO (.iso), RAR (.rar), ZIP (.zip) en IMG (.img) gebruiken om documenten met macro's te verzenden. Bij het downloaden zullen die bestanden het MOTW-attribuut hebben omdat ze van het internet zijn gedownload. Maar het interne document, zoals een spreadsheet met macro's, zal dat niet hebben. Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro's inschakelen om de schadelijke code automatisch te laten uitvoeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het internet.
Campagne statistieken
Proofpoint ziet dat het aantal e-mailaanvallen waarbij documenten met macro's als bijlage worden gebruikt, significant is gedaald. Tussen oktober 2021 en juni 2022 daalde dit zelfs met meer dan twee derde. In ditzelfde tijdsbestek is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder ISO- en RAR-bestanden, en Windows Shortcut (LNK)-bijlagen met bijna 175% toegenomen.
Aantal e-mailaanvallen met containerformats versus macro's
Deze toename is deels toe te schrijven aan het toegenomen gebruik van ISO- en LNK-bestanden in campagnes. Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang, bijvoorbeeld bij de verspreiding van Bumblebee. Het gebruik van ISO-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150% toegenomen. Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode ISO-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken.
Conclusie
Cybercriminelen stappen af van documenten met macro's en kiezen steeds vaker voor andere bestandstypen om toegang te krijgen tot een organisatie. Deze verschuiving heeft te maken met het gebruik van ISO- en andere containerformats, evenals LNK-bestanden. Dergelijke bestandstypen kunnen de bescherming tegen macro's van Microsoft omzeilen, maar ook de distributie van uitvoerbare bestanden makkelijker maken. Dit kan vervolgens leiden tot nieuwe malware, dataverkenning, diefstal van data en ransomware.
Onderzoekers van Proofpoint achten de kans groot dat dit een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen is in de recente geschiedenis. Het is waarschijnlijk dat bedreigingsactoren containerformats blijven gebruiken om malware te verspreiden, en dat ze minder vertrouwen op bijlagen met macro's. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen
- Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
- Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
- Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
- Ga je online pas de ABC methode toe
- A = alert blijven
- B = bescherm jezelf
- C = check altijd
Bron: andere, proofpoint.com
Meer rapporten? Kijk dan hier »
Meer actueel nieuws
Ransomware gijzelt museum in Veendam en datalek bij Frans ministerie treft miljoenen
De afgelopen achtenveertig uur werd het digitale landschap getekend door een scherp contrast tussen gerichte aanvallen op lokaal erfgoed en fundamentele discussies over de robuustheid van onze financiële infrastructuur. Terwijl Nederlandse instellingen worstelen met de directe gevolgen van cybercriminaliteit en de maatschappelijke impact van digitalisering, zien we wereldwijd hoe geavanceerde malware en kwetsbaarheden in essentiële software de druk op IT beveiliging verder opvoeren.
Chinese restricties in kritieke infrastructuur en digitale heling van fysieke buit
De afgelopen 72 uur werd het cyberdomein gedomineerd door een samenspel van geopolitieke manoeuvres en criminelen die de grenzen tussen fysieke diefstal en digitale criminaliteit doen vervagen. Terwijl de Europese Commissie concrete stappen voorbereidt om Chinese technologie uit vitale systemen te weren, zien we in de Benelux hoe de handel in gestolen fysieke goederen zich verplaatst naar online platforms. Tegelijkertijd worden organisaties wereldwijd geconfronteerd met ernstige kwetsbaarheden in essentiële netwerkapparatuur en cloudomgevingen, wat de noodzaak voor acute waakzaamheid bij zowel overheden als bedrijven onderstreept.
NB401: Datalek bij Instagram en ransomware in Antwerpen en Nederlandse politieactie tegen chatgroepen
➤ VOLG ONS OP SPOTIFY »
Antwerps ziekenhuis draait op halve kracht door ransomware en toename van fraude via Booking.com in Nederland
De afgelopen twee dagen stonden in het teken van ernstige verstoringen binnen de medische sector en een reeks onthullingen over staatsgebonden cyberoperaties. Terwijl ziekenhuispersoneel in onze regio noodgedwongen terugvalt op papierwerk na een gijzelingsaanval, worden burgers internationaal geconfronteerd met grootschalige datalekken en geraffineerde oplichtingstrucs. Tegelijkertijd woedt er een technologische wapenwedloop tussen grootmachten, waarbij kwantumtechnologie en kunstmatige intelligentie het strijdtoneel herdefiniëren.
Gijzelsoftware ontregelt ziekenhuis in Antwerpen en kritiek lek in mailservers bedreigt Benelux
De gebeurtenissen van de afgelopen dag tonen aan hoe kwetsbaar vitale sectoren zijn voor digitale ontwrichting, met een directe impact op ziekenhuizen en een reeks waarschuwingen voor ernstige softwarefouten die systemen in onze regio bedreigen. Terwijl zorginstellingen noodgedwongen overschakelen op noodprocedures vanwege gijzelsoftware, worden bedrijven en overheden geconfronteerd met geavanceerde spionagetactieken en grootschalige datadiefstal die de privacy van miljoenen mensen raakt.
Apeldoorn - Phishing
Een man uit Apeldoorn is het slachtoffer geworden van een geraffineerde phishingzaak, waarbij oplichters hem €2000 afhandig maakten. Na een listige truc met een nieuwe bankpas is de politie op zoek naar een verdachte, van wie dankzij een alerte getuige een foto beschikbaar is.