30 procent malwareaanvallen is nieuw of 'zero day'
4 april 2017 -
30 procent van de malwareaanvallen is nieuw of een zero-day-aanval. Dat is een van de opvallendste conclusies uit het Quarterly Internet Security Report van WatchGuard Technologies.
Het rapport is gebaseerd op het vierde kwartaal van 2016 en signaleert actuele cybersecuritydreigingen voor het mkb en de corporate sector. Daarnaast beschrijft het trends, presenteert het de opvallendste cybersecurity-anekdotes en biedt het praktische tips voor securityprofessionals.
Bewogen securityjaar
2016 was een bewogen securityjaar. Het Mirai-botnet sloeg toe, banken lagen onder vuur in de SWIFT-aanvallen, gezondheidsorganisaties kampten met hacks en er zijn sterke vermoedens van Russische inmenging in de Amerikaanse presidentsverkiezingen. Ransomwareaanvallen via phishing en geïnfecteerde websites domineerden de headlines.
Vijf conclusies
Dit zijn de belangrijkste vijf conclusies uit het rapport, in willekeurige volgorde:
- Ongeveer 30 procent van de malware was geclassificeerd als nieuw of 'zero day', omdat het nog niet eerder werd ontdekt door een traditionele, handtekeninggebaseerde antivirusoplossing. Dat bevestigt dat cybercriminelen steeds beter in staat zijn hun malware automatisch te laten veranderen van vorm, zodat ze dergelijke detectiesystemen te snel af zijn. Zonder moderne detectietechnieken missen bedrijven ongeveer een derde van alle malware.
- Oude gevaren steken opnieuw de kop op. Het is al een oude truc, maar nog altijd bevatten veel spearphishingmails documenten met kwaadaardige macro's. De aanvallers misbruiken daarbij nu ook Microsofts' nieuwe documentformaten. Daarnaast gebruiken aanvallers nog altijd kwaadaardige web shells voor het kapen van webservers. PHP-shells zijn nog altijd veelgebruikt, zeker nu aanvallers deze oude aanvalsmethode hebben verbeterd met nieuwe obfuscatiemethoden (het verhullen van kwaadaardige code door deze zo goed als onleesbaar te maken).
- JavaScript is een populaire taal voor het afleveren van malware en obfuscatie. De Firebox Feed zag een stijging van kwaadaardige JavaScript, zowel in e-mail als op het web.
- De meeste netwerkaanvallen hebben webservices en browsers als doelwit. 73 procent van de belangrijkste aanvallen richten hun pijlen op webbrowsers met drive-by-download-aanvallen, waarbij cybercriminelen ongemerkt malware op het systeem van het slachtoffer installeren.
- De belangrijkste netwerkaanvalsmethode, Wscript.shell Remote Code Execution, was vrijwel volledig gericht op Duitsland. Deze methode had in 99 procent van de gevallen een Duits doelwit.
WatchGuards Internet Security Report is gebaseerd op geanonimiseerde data van meer dan 24.000 actieve Watchguard UTM-appliances wereldwijd. Deze appliances blokkeerden in Q4 meer dan 18,7 miljoen malwarevarianten, een gemiddelde van 758 varianten per device. Ze blokkeerden in die periode ook meer dan drie miljoen netwerkaanvallen, gemiddeld 123 aanvallen per device.
Onderzoek naar IoT-kwetsbaarheden
Als reactie op de snelle verspreiding van het Mirai-botnet is het WatchGuard Threat Lab een lopend onderzoeksproject gestart dat IoT-apparaten op kwetsbaarheden analyseert. Het onderzoek dat beschreven staat in dit rapport evalueerde webcams, fitnessaccessoires en andere gadgets met een netwerkverbinding. Ook worpen de onderzoekers een grondige blik op een kwetsbaarheid die het Threat Lab vond in een relatief populaire draadloze IP-camera. Het rapport geeft aanbevelingen aan consumenten hoe ze hun IoT-apparaat kunnen beveiligen.
Direct inzicht
"De toevoeging van de Firefox Feed geeft ons Threat Lab direct inzicht in de evolutie van cyberaanvallen en hoe bedreigende actoren zich gedragen," zegt Corey Nachreiner, chief technology officer van WatchGuard Technologies. "Ieder kwartaal zal ons rapport nieuwe Firebox Feed-data combineren met uniek onderzoek en analyse van belangrijke security-incidenten. Daaruit destilleren we de belangrijkste trends en geven we aanwijzingen en best practices voor een optimale verdedigingsstrategie."