Het aantal malwarebesmettingen op eindpoints oversteeg in Q3 van 2021 al het totale volume van 2020. Ook het aantal zero-day-aanvallen met malware dat binnenkomt via versleutelde verbindingen is gestegen.
Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan.
Malware via versleutelde verbindingen
Steeds vaker kwam malware binnen via versleutelde verbindingen. In Q3 ging het om een stijging van 31,6% naar 47% van de gevallen. Vaak ging het om niet-gerichte, eenvoudige malware-aanvallen. Toch is het zorgwekkend, want volgens WatchGuard controleren veel organisaties niet wat er via versleutelde verbindingen binnenkomt.
Niet-gepatchte kwetsbaarheden in oudere software zijn voor aanvallers nog altijd een welkome ingang. Toch verschuift de focus steeds vaker naar misbruik van nieuwere kwetsbaarheden. Dat komt omdat veel gebruikers zijn overgestapt naar nieuwe Windows- en Office-varianten.
In Q3 kwam CVE-2018-0802 op nummer 6 binnen in de top 10 van WatchGuard's lijst van gateway-antivirus-malware. Deze maakt gebruik van een kwetsbaarheid in Equation Editor in Microsoft Office. In het voorgaande kwartaal kwam deze al in de lijst van meest verspreide malware voor. Bovendien kwamen twee Windows-code-injectoren (Win32/Heim.D en Win32/Heri) respectievelijk binnen op nummer 1 en 6 van de lijst met meest gedetecteerde malware.
VS het vaakst slachtoffer
Het overgrote deel van de netwerkaanvallen was in het derde kwartaal gericht op Noord- en Zuid-Amerika (64,5%), tegenover Europa (15,5%) en APAC (20%).
Na achtereenvolgende kwartalen van groei met meer dan 20% heeft WatchGuard's Intrusion Prevention Service (IPS) in het derde kwartaal ongeveer 4,1 miljoen unieke netwerkexploits gedetecteerd. De daling van 21% bracht de volumes terug op het niveau van het eerste kwartaal, dat nog steeds hoog was in vergelijking met het voorgaande jaar. De verschuiving betekent niet noodzakelijk dat de aanvallers het laten afweten. Zo verleggen ze hun aandacht mogelijk naar meer gerichte aanvallen.
Aan het einde van het derde kwartaal detecteerden de systemen van WatchGuard al 10% meer aanvalscripts dan in heel 2020. In dat jaar was er al een toename van 666% ten opzichte van het jaar daarvoor.
In hybride werkomgevingen is een sterke perimeter niet langer voldoende om bedreigingen tegen te houden. Zelfs hackers met beperkte vaardigheden kunnen doorgaans een malware-payload volledig uitvoeren met scriptingtools zoals PowerSploit, PowerWare en Cobalt Strike. Deze aanvallen komen ongezien langs basale endpointdetectie.
Zelfs veilige domeinen worden gehackt
Door een protocolfout in het Exchange Server Autodiscover-systeem van Microsoft konden aanvallers domeinreferenties verzamelen en verschillende als veilig te boek staande domeinen compromitteren. In totaal blokkeerden WatchGuard Fireboxes in het derde kwartaal 5,6 miljoen schadelijke domeinen, waaronder verschillende nieuwe malwaredomeinen die software proberen te installeren voor cryptomining, keyloggers en remote access trojans (RAT's).
Ook phishingdomeinen die zich voordoen als SharePoint-sites om Office365-inloggegevens te verzamelen werden vaak opgemerkt. Hoewel het aantal geblokkeerde domeinen met 23% is gedaald ten opzichte van het vorige kwartaal, is het nog steeds vele malen hoger dan het niveau van het vierde kwartaal van 2020 (1,3 miljoen). Dit benadrukt dat organisaties zich moeten concentreren op het up-to-date houden van servers, databases, websites en systemen met de nieuwste patches om zo de aanvalsmogelijkheden te beperken.
Na een sterke daling in 2020 bereikten de ransomware-aanvallen tegen eind september 105% van het volume van 2020. Dat percentage komt waarschijnlijk op 150% uit, zodra de gegevens van het volledige jaar 2021 zijn geanalyseerd. Ransomware-as-a-service zoals REvil en GandCrap verlagen de lat voor criminelen met weinig of geen coderingsvaardigheden. Deze services leveren de infrastructuur en de malware-payloads voor wereldwijde aanvallen in ruil voor een percentage van het losgeld.
Kwetsbaarheid van digitale supplychain
Begin juli 2021 rapporteerden tientallen organisaties ransomware-aanvallen gericht op hun endpoints. Aanvallers maakten gebruik van de REvil ransomware-as-a-service (RaaS)-organisatie. Bij de aanvallen werd misbruik gemaakt van drie zero-day kwetsbaarheden in Kaseya VSA Remote Monitoring and Management (RMM), waaronder CVE-2021-30116 en CVE-2021-30118. Zo’n 1500 organisaties en mogelijk miljoenen endpoints werden getroffen. Uiteindelijk wist de FBI de servers van REvil te compromitteren. Een paar maanden later kregen zij de decryptiesleutel in handen.
De aanval toont de noodzaak van proactieve securitymaatregelen aan. Denk aan regelmatige patches en updates, het toepassen van zero-trust en het principe van 'least privilege' voor toegang tot leveranciers. Alleen zo kunnen zij de impact van aanvallen op de toeleveringsketen minimaliseren.
Langetermijnstrategie
"Terwijl het totale volume van netwerkaanvallen in het derde kwartaal licht kromp, steeg de malware per apparaat voor het eerst sinds het begin van de pandemie", aldus Corey Nachreiner, chief security officer bij WatchGuard. "Het is belangrijk dat organisaties verder kijken dan de korte-termijn ups en downs en de seizoensgebondenheid van specifieke statistieken en zich richten op aanhoudende en zorgwekkende trends die van invloed zijn op hun beveiligingsbeleid. Een belangrijk voorbeeld is het toenemend gebruik van versleutelde verbindingen voor het leveren van zero days."
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: watchguard.com, dutchitchannel.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Meer rapporten bekijken of downloaden
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws over malware
Coronavirus-campagnes verspreid Emotet, Malware
Aangezien het coronavirus uit de provincie Wuhan in China nog steeds wijdverbreide angsten wekt over een mondiale volksgezondheidscrisis, zien sommigen een kans in de uitbraak.
Muziek: Artiesten en nummers om malware te verspreiden
Kaspersky-beveiligingstechnologieën ontdekten een toename van 39% van aanvallen (pogingen om kwaadaardige bestanden te downloaden of uit te voeren) onder het mom van het werk van 'genomineerden in 2019, vergeleken met 2018'. Ariana Grande, Taylor Swift en Post Malone waren de favorieten van aanvallers, met deze genomineerden namen die het meest worden gebruikt in 2019 als vermomming voor malware.
Kerstmis malware verspreidt zich snel
Het is tijd voor lelijke kersttruien - en voor lelijke spammails met een kerstthema. Een nieuwe malspam-campagne dumpt een e-mail in uw inbox met 'Christmas Party', 'Christmas Party volgende week', 'Partymenu', 'Vakantieschema' of iets dergelijks. Maar het bijgevoegde Word-document bevat een gevaarlijke malware: de beruchte Trojan-malware van Emotet.
Nepkortingsbonnen McDonalds leiden naar bankmalware
Facebook gebruikers zijn gewaarschuwd voor zogenaamde kortingsbonnen van 'McDonalds' die via het platform worden aangeboden. In plaats van een korting op een Big Mac, wacht er een infectie met bankmalware, die gegevens voor internetbankieren onderschept. Dat meldt antivirusbedrijf ESET.
Bestandloze malware "Campagnes zonder infectie zijn moeilijk te detecteren"
Net zoals criminelen kunnen worden gepakt door vingerafdrukken of DNA op de plaats delict, laten hackers ook sporen achter op geïnfecteerde systemen. Om het bewijs van hun aanvallen te verbloemen, hebben cybercriminelen bestandsloze malware ontwikkeld. Deze schadelijke softwarevariant bestaat slechts als een artefact op het computergeheugen. De infectie of malware plaatst geen uitvoerbare bestanden op de harde schijf van het geïnfecteerde systeem om de detectie van de aanval zo lang mogelijk te verbergen. Verschillende nieuwe campagnes, die gebruikmaken van bestandsloze malware-aanvallen, zijn geanalyseerd door het Zscaler-ThreatlabZ-team.
Aanvallers blijven gebruikmaken van meer sociale engineering en verfijning
Ondanks een afwezigheid van bijna vier maanden, was de terugkeer van 'Emotet' in de laatste twee weken van september goed voor bijna 12 procent van alle kwaadaardige e-mailvoorbeelden in het derde kwartaal, waardoor miljoenen berichten met kwaadaardige URL's of bijlagen werden afgeleverd, vond Proofpoint.
Chinese hackers richten zich op sms-berichten met een nieuwe vorm van malware
Aangenomen wordt dat een Chinese, door de staat gesponsorde hackinggroep achter een nieuwe vorm van malware zit die zich richt op sms-berichten op servers van telecommunicatiebedrijven.
Malware apps in Appstore
Hoewel er behoorlijk wat apps bestaan die je leven een stuk spannender en aangenamer maken, zijn er helaas ook applicaties die het tegenovergestelde lijken te doen. Apple‘s App Store treft maatregelen om deze dubieuze apps te weren, maar kan niet voorkomen dat het soms mis gaat. Zo liet de beveiligingsfirma Wandera afgelopen donderdag weten dat zeventien apps in de App Store geïnfecteerd zouden zijn met clicker trojan malware. De geïnfecteerde apps zouden gebruikt worden om advertentiefraude te plegen door veelvuldig verbinding te maken met advertentienetwerken of websites.
Windows- en Mac-gebruikers opgepast met Flash-updates
Gebruikers van Windows en macOS moeten extra alert zijn voor pop-ups van 'Adobe Flash'. Via valse, misleidende notificaties wordt geprobeerd om jouw systeem te infecteren met malware of ransomware.
Nieuwe Malware ATTOR is compleet spionageplatform
Cybersecurity onderzoekers hebben een nieuw malware ontdekt dat onder andere het gebruik van de encryptiesoftware 'TrueCrypt' op besmette systemen monitort. De malware heet 'Attor' en wordt door antivirusbedrijf 'ESET' als een compleet spionageplatform omschreven.
Malware die audio en video opneemt bij bezoek porno-website
Cybersecurity onderzoekers hebben malware ontdekt die audio en video opneemt als de gebruiker van de besmette machine pornosites bezoekt. Het opgenomen materiaal kan mogelijk worden gebruikt om het slachtoffer af te persen (sextortion).
Face-App malafide? Zaklamp-App niet!?
Onlangs werd FaceApp veel besproken op internet, omdat het bedrijf erachter Russisch is en de app toestemming vraagt voor toegang tot onder andere foto's. Het is duidelijk dat FaceApp niet kwaadaardig is, hoewel het geldige privacy kwesties oplevert. Is dit echter een speciaal geval of moeten we ons zorgen maken over alle apps die we gebruiken? Ik heb het niet over stalkerware-apps, maar over de miljoenen schijnbaar onschadelijke apps die te vinden zijn in de Google Play Store.