Cybercriminelen veranderen hun tactiek

Gepubliceerd op 2 augustus 2022 om 15:00

Cybercriminelen zijn overgestapt op nieuwe tactieken naar aanleiding van de aankondigingen van Microsoft dat macro's standaard worden geblokkeerd in Microsoft Office-applicaties. Dit blijkt uit nieuw onderzoek van Proofpoint. Aanvallers hebben op Microsoft gereageerd door af te stappen van op macro's gebaseerde aanvallen en in plaats daarvan meer gebruik maken van containerformats om malware te verspreiden. Proofpoint heeft geconstateerd dat het gebruik van VBA- en XL4-macro's met ongeveer 66% is afgenomen tussen oktober 2021 en juni 2022. Proofpoint stelt dat dit "een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen in de recente geschiedenis" is. 

Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.

Containerbestanden in plaats van macro's

Op basis van data van Proofpoint tussen oktober 2021 tot en met juni 2022 blijkt dat het gebruik van documenten met macro's om malware te verspreiden met 66% is afgenomen. Daar staat tegenover dat criminelen steeds vaker kiezen voor containerbestanden zoals ISO- en RAR-bijlagen en Windows snelkoppelingen (LNK-bestanden).

VBA-macro's worden door cybercriminelen gebruikt om automatisch malafide content uit te voeren wanneer een gebruiker macro's heeft ingeschakeld in Office-applicaties. XL4-macro's zijn specifiek voor Excel bedoeld, maar kunnen ook als wapen worden gebruikt door aanvallers. Doorgaans maken criminelen die documenten met macro's verspreiden gebruik van social engineering om de ontvanger ervan te overtuigen dat de inhoud belangrijk is en dat macro's moeten worden ingeschakeld om deze te kunnen bekijken.

Voorbeeld van een Excel-bijlage met Emotet uit een recente campagne

Aanval via macro's gaan ook nog door

Onderzoekers van Proofpoint verwachtten dat aanvallers zouden afstappen van documenten met macro's die als bijlagen bij het bericht zijn gevoegd of via een URL zijn gedownload om de verdediging van Microsoft te omzeilen. Hoewel Proofpoint een opvallende toename van andere soorten bijlagen heeft waargenomen, worden documenten met macro's nog steeds in het hele bedreigingslandschap gebruikt. Onderzoekers van Proofpoint onderzochten het gebruik van meerdere bestandstypen vanaf oktober 2021 tot en met juni 2022 om het bedreigingslandschap beter te begrijpen en te anticiperen op toekomstig gedrag.

Mark of the Web omzeilen

Microsoft gaat VBA-macro's blokkeren op basis van een zogeheten Mark of the Web (MOTW)-attribuut dat aangeeft of een bestand van het internet komt, bekend als de Zone.Identifier. Microsoft-applicaties voegen dit kenmerk toe aan documenten die van het internet worden gedownload. MOTW kan echter worden omzeild door containerformats te gebruiken.

Aanvallers kunnen containerformats zoals ISO (.iso), RAR (.rar), ZIP (.zip) en IMG (.img) gebruiken om documenten met macro's te verzenden. Bij het downloaden zullen die bestanden het MOTW-attribuut hebben omdat ze van het internet zijn gedownload. Maar het interne document, zoals een spreadsheet met macro's, zal dat niet hebben. Wanneer het document wordt uitgepakt, moet de gebruiker nog steeds macro's inschakelen om de schadelijke code automatisch te laten uitvoeren, maar het bestandssysteem zal het document niet identificeren als afkomstig van het internet.

Campagne statistieken

Proofpoint ziet dat het aantal e-mailaanvallen waarbij documenten met macro's als bijlage worden gebruikt, significant is gedaald. Tussen oktober 2021 en juni 2022 daalde dit zelfs met meer dan twee derde. In ditzelfde tijdsbestek is het aantal campagnes dat gebruikmaakt van containerbestanden, waaronder ISO- en RAR-bestanden, en Windows Shortcut (LNK)-bijlagen met bijna 175% toegenomen.

Aantal e-mailaanvallen met containerformats versus macro's

Deze toename is deels toe te schrijven aan het toegenomen gebruik van ISO- en LNK-bestanden in campagnes. Cybercriminelen gebruiken deze bestanden steeds vaker als mechanisme voor de eerste toegang, bijvoorbeeld bij de verspreiding van Bumblebee. Het gebruik van ISO-bestanden is tussen oktober 2021 en juni 2022 met meer dan 150% toegenomen. Meer dan de helft van de 15 getraceerde cybercriminele groepen die in deze periode ISO-bestanden gebruikten, begon deze na januari 2022 in campagnes te gebruiken.

Conclusie

Cybercriminelen stappen af van documenten met macro's en kiezen steeds vaker voor andere bestandstypen om toegang te krijgen tot een organisatie. Deze verschuiving heeft te maken met het gebruik van ISO- en andere containerformats, evenals LNK-bestanden. Dergelijke bestandstypen kunnen de bescherming tegen macro's van Microsoft omzeilen, maar ook de distributie van uitvoerbare bestanden makkelijker maken. Dit kan vervolgens leiden tot nieuwe malware, dataverkenning, diefstal van data en ransomware.
Onderzoekers van Proofpoint achten de kans groot dat dit een van de grootste verschuivingen in het dreigingslandschap voor e-mailaanvallen is in de recente geschiedenis. Het is waarschijnlijk dat bedreigingsactoren containerformats blijven gebruiken om malware te verspreiden, en dat ze minder vertrouwen op bijlagen met macro's. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Advies om je bedrijf tegen de huidige en toekomstige bedreigingen te beschermen

  • Beheers de basisprincipes om de kansen van cybercriminelen te verkleinen: zoals multifactorauthenticatie en patchbeheer en geef prioriteit aan zelfherstellende hardware om de veerkracht te vergroten.
  • Bereid je voor op het ergste; beperk het risico van uw mensen en partners door processen in te stellen om de beveiliging van leveranciers te controleren en het personeel te onderwijzen over social engineering. Oefen met reacties op aanvallen, om problemen te kunnen identificeren, verbeteringen aan te brengen en beter voorbereid te zijn.
  • Cybercriminaliteit is een teamsport en cyberbeveiliging moet dat ook zijn: praat met collega's om informatie over bedreigingen te delen en wees proactief door open discussies op ondergrondse forums te volgen. Werk samen met beveiligingsdiensten van derden om zwakke plekken en kritieke risico's aan het licht te brengen.
  • Ga je online pas de ABC methode toe
    • A = alert blijven
    • B = bescherm jezelf
    • C = check altijd

Meer info over ABC en downloads

Bron: andere, proofpoint.com

How Threat Actors Are Adapting To A Post
PDF – 403,4 KB 268 downloads

Meer rapporten? Kijk dan hier »

Meer actueel nieuws 

Cybercriminelen misbruiken slimme apparaten in cyberoorlog

DDoS-aanvallen, waarbij hackers websites uit de lucht halen, zijn een belangrijk Russisch wapen in de oorlog tegen Oekraïne. Deze aanvallen verlopen vaak via een verzameling van honderdduizenden tot miljoenen kwetsbare slimme apparaten die met het internet verbonden zijn, zoals beveiligingscamera’s, slimme deurbellen en netwerk harde schijven. En ook die van jou kunnen misbruikt worden voor dat soort doeleinden. “Dit zou genoeg moeten zijn voor consumenten om zich af te vragen: ‘wat kan ik doen?’ Dit moet je namelijk niet willen”, zegt Dave Maasland, CEO van cyberbeveiligingsbedrijf ESET-Nederland.

Lees meer »

Overzicht cyberaanvallen week 17-2022

Hackersgroep Stormous hackt Coca Cola, kamervragen over ransomware-aanval op gemeente Buren en Onyx ransomware vernietigt bestanden in plaats van ze te versleutelen. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.

Lees meer »

Cybercrime nieuwsbrief 207 week 17-2022

Je naam, adres en telefoonnummer op straat? Dit kunnen hackers met die persoonsgegevens, cybercriminele kartels richten zich nu ook op marktstrategieën, beleggingsrekeningen en banken en de evolutie van WhatsApp fraude. Dit en meer lees je in nieuwsbrief 207.

Lees meer »

Digiweerbaar met de Cyber Sessies: Aflevering 3 'Ethisch hackers? Dit kunnen we van ze leren'

Deze week spreekt presentator Remy Gieling met drie kopstukken uit de wereld van online veiligheid; Pim Takkenberg (directeur cyber security Northwave), Sanne Maasakkers (security specialist Nationaal Cyber Security Centrum) en Dave Maasland (CEO ESET Nederland). De drie deskundigen gaan in op het onderwerp 'digitale veiligheid door de ogen van de aanvaller.' Door te weten hoe een aanvaller werkt, kun je je als bedrijf en burger beter verdedigen. Er wordt ingegaan op vragen als: wat doet een ethisch hacker? Waarom zou je als bedrijf met ethisch hackers in zee gaan? En welke maatregelen kunnen bedrijven treffen om het hackers - en dus ook de ethisch hackers - moeilijk te maken? 

Lees meer »

AIVD: Sabotage “het grootste digitale risico” voor de Nederlandse samenleving

Nederlandse burgers, bedrijven en overheidsdiensten liepen in 2021 voortdurend het risico om getroffen te worden door cyberaanvallen. Landen als China en Rusland spelen daarin een belangrijke rol. Deze digitale dreiging vraagt om vergaande samenwerking met nationale en internationale partners. Om de goede inlichtingenpositie te houden zijn (technische) middelen nodig. Dat schrijft de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in de nieuwste editie van het jaarverslag.

Lees meer »