"De overgrote meerderheid (91,5%) van de malware vindt zijn weg naar bedrijfsnetwerken via verbindingen met https-versleuteling."
Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist zag daarnaast een "alarmerende stijging van het aantal aanvallen met ransomware en fileless malware in het tweede kwartaal van 2021."
Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en reikt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q2 2021.
Belangrijkste conclusies
-
Malware komt massaal binnen via versleutelde verbindingen
In Q2 werd 91,5% van de malware verstuurd via een versleutelde verbinding, een forse toename ten opzichte van het kwartaal ervoor. Simpel gezegd: zonder https-inspectie wordt 9 van de 10 malware-aanvallen niet opgemerkt.
-
Malware maakt gebruik van PowerShell-tools om beveiliging te omzeilen
AMSI.Disable.A stond in Q1 voor het eerst in de malware-top 10 van WatchGuard. In Q2 kwam deze malwarefamilie op de tweede plek in de lijst met meest voorkomende malware en op plek één in de ranglijst met versleutelde bedreigingen. Deze malware maakt gebruik van PowerShell-tools om verschillende kwetsbaarheden in Windows te misbruiken. Een opvallende eigenschap is de ontwijkingstechniek. WatchGuard ontdekte dat AMSI.Disable.A de Antimalware Scan Interface (AMSI) in PowerShell kan uitschakelen. Zo voorkomt de malware detectie tijdens beveiligingscontroles.
-
Groei fileless bedreigingen zet door
Het aantal malwaredetecties afkomstig van scriptingengines zoals PowerShell kwam na een half jaar al uit op 80% van het totale aanvalsvolume in 2020. Daarmee blijft de dreiging van fileless malware in ongekend tempo groeien: met het huidige tempo gaat het om een verdubbeling op jaarbasis.
-
Meer netwerkaanvallen ondanks transitie naar thuiswerken
WatchGuard-appliances detecteerde in Q2 bijna 5,1 miljoen netwerkaanvallen, een stijging van 22% ten opzichte van het eerste kwartaal. Het aanvalsvolume bereikte zelfs het hoogste niveau sinds begin 2018. Deze toename onderstreept het groeiende belang van netwerkbeveiliging in combinatie met bescherming van gebruikers.
-
Ransomware-aanvallen bezig aan opmars
Het aantal detecties van ransomware op endpoints zat tussen 2018 en 2020 in een neerwaartse trend. Maar in de eerste helft van 2021 kwam daar verandering in. In zes maanden tijden werd bijna evenveel ransomware waargenomen als in heel 2020. Als het aantal detecties in het restant van 2021 op hetzelfde niveau blijft, komt het totale volume 150% hoger uit dan in 2020.
-
Oude kwetsbaarheden maken comeback
Meestal staan er een of twee nieuwe handtekeningen in de top 10 van netwerkaanvallen. In Q2 waren het er maar liefst vier. Een daarvan is een vrij recente kwetsbaarheid in de populaire scripttaal PHP, maar de rest is helemaal niet nieuw. Het gaat om een oude kwetsbaarheid in Oracle GlassFish Server (2011), een SQL-injectie-kwetsbaarheid in het elektronisch patiëntendossier OpenEMR (2013) en een kwetsbaarheid in Microsoft Edge die het op afstand uitvoeren van code mogelijk maakt (2017). Deze systemen blijven een risico mits ongepatcht.
-
Microsoft Office blijft een populair doelwit
De genoemde kwetsbaarheid in Microsoft Edge staat niet op zichzelf. In september kwam een vergelijkbare, ernstige kwetsbaarheid (CVE-2021-40444) in het nieuws die actief werd misbruikt voor gerichte aanvallen op Microsoft Office en Office 365 op Windows 10-computers. Cybercriminelen hebben het duidelijk nog steeds gemunt op Office. Gelukkig worden deze bewezen effectieve aanvalsmethoden gedetecteerd door IPS-beveiliging.
-
Meer malware-aanvallen op Exchange-servers en e-mailgebruikers
WatchGuard ziet een toename in het gebruik van malware gericht op Microsoft Exchange-servers en normale e-mailgebruikers, met als doel het downloaden van remote access trojans (RATs) naar vertrouwelijke locaties. Dit hangt waarschijnlijk samen met het feit dat in Q2 meer mensen weer naar kantoor gingen of het fysiek onderwijs (deels) hervatten. Belangrijke tegenmaatregelen zijn het versterken van security-awareness en het monitoren van uitgaande communicatie op apparaten, ongeacht waar de gebruikers zich bevinden.
Uitgebreide analyse
Het Internet Security Report over Q2 2021 bevat ook een uitgebreide analyse van de ransomware-aanval op Colonial Pipeline van begin mei. WatchGuard brengt de impact in kaart en schetst de implicaties voor de beveiliging van vitale infrastructuur. Daarnaast geeft het bedrijf adviezen voor de verdediging tegen ransomware-aanvallen en het vertragen van de verspreiding.
“Een groot deel van de wereld werkt nog steeds thuis of omarmt hybride werken”, zegt Corey Nachreiner, chief security officer bij WatchGuard. “Goede netwerkbeveiliging blijft essentieel, maar is tegelijkertijd slechts één onderdeel van een gelaagde security. Krachtige endpointbeveiliging en endpoint detection & response (EDR) worden steeds belangrijker.”
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. Je kan het volledige rapport hieronder downloaden.
Bron: watchguard.com, winmagpro.nl
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Meer rapporten bekijken of downloaden 》
Tips of verdachte activiteiten gezien? Meld het hier.
Malware gerelateerde berichten
Android stalkerware in opmars
Het gebruik van mobiele stalkerware, software die stalkers stilletjes en zonder hun medeweten installeren op mobiele apparaten van slachtoffers, neemt volgens onderzoekers toe. In 2019 registreerde onderzoekers bijna vijf keer meer Android stalkerware-detecties dan in 2018, en in 2020 waren er 1,5 keer meer detecties dan in 2019. Naast de toename ontdekte het onderzoeksteam van ESET ook ernstige kwetsbaarheden in Android stalkerware-apps en hun monitoringservers. Deze kwetsbaarheden kunnen leiden tot ernstige gevolgen voor de gebruiker als ze worden uitgebuit. "Security: The Hidden Cost of Android Stalkerware" werd eergisteren op de RSA Conference gepresenteerd door onderzoeker Lukáš Štefanko.
Overwacht hogere mobiele factuur?
KPN waarschuwt haar klanten voor FlutBot. Wie deze malware installeert, kan mogelijk een ‘hogere mobiele factuur’ verwachten. Dit komt omdat FluBot sms’jes verstuurt naar mensen in jouw contactlijst. “Hiermee krijgt de app het vermogen om vanuit het toestel kosten te maken via KPN of andere geïnstalleerde apps.”
Malware toename met 229%
Gisteren kondigde 'G DATA CyberDefense' zijn jaarlijkse malware top 10 aan. In 2020 identificeerde de specialisten van het securitybedrijf maar liefst 16.1 miljoen malwaresamples. Dit zijn gemiddeld 76 nieuwe malware samples per minuut. Dit is een toename van 228.6 percent vergeleken met 2019.
Samples in omloop die cybercriminelen kunnen gebruiken
Eind januari werd aangekondigd dat een internationale politieoperatie de servers achter de agressieve malware Emotet had ontmanteld.
QR-code scanner App wordt na update Malware
Tien miljoen gebruikers van de 'Barcode Scanner-app' die in de Google Play Store werd aangeboden zijn na een update van de app met malware besmet geraakt. Dat laat anti-malware-bedrijf 'Malwarebytes' weten. 'Barcode Scanner' laat gebruikers barcodes en QR-codes scannen. De app was al sinds 2017 in de Google Play Store te vinden.
Nieuwe malware gericht op wetenschappelijke onderzoeksnetwerken
Cybercrime onderzoekers hebben 'Kobalos' ontdekt, malware die supercomputers – zogenaamde high performance computer (HPC) clusters - heeft aangevallen. De onderzoekers werkten samen met het 'CERN Computer Security Team' en andere organisaties die betrokken zijn bij het inperken van aanvallen op deze wetenschappelijke onderzoeksnetwerken. Onder de doelwitten bevonden zich onder andere een grote Aziatische Internet providers een Noord-Amerikaanse leverancier van endpoint security, alsook verscheidene private servers.