Cybercriminelen richten pijlen op Linux en webservers
6 juli 2017 -
Ruim een derde van alle gedetecteerde topdreigingen bestond in het eerste kwartaal van 2017 uit Linux-malware. Dat is een van de opvallende conclusies uit het nieuwe Internet Security Report van WatchGuard Technologies.
Vergeleken met het vierde kwartaal van 2016 daalde de hoeveelheid gedetecteerde malware fors.
Het nieuwe Internet Security Report schetst de netwerkaanvallen en malwaretrends die WatchGuard in het eerste kwartaal van 2017 signaleerde op basis van zijn Firebox Feed. Daarnaast biedt het een analyse van CIA's 'Vault 7', de door klokkenluiderssite WikiLeaks gelekte documenten waarin uiteen wordt gezet hoe de Amerikaanse geheime dienst te werk gaat bij elektronische surveillance en cyberoorlogen. Ook gaat het rapport dieper in op een onderzoeksproject van het WatchGuard Threat Lab voor de beveiliging van connected camera's.
Vijf conclusies
Dit zijn in willekeurige volgorde de vijf belangrijkste conclusies en aanbevelingen uit het rapport:
1. Linux-malware is een groeiend probleem
Linux-malware maakte in het eerste kwartaal van 2017 36 procent uit van de topdreigingen die WatchGuard detecteerde. De populariteit van Linux/Exploit, Linux/Downloader en Linux/Flooder demonstreert dat aanvallers hun focus verleggen naar Linux-servers en IoT-apparatuur. Gebruikers moeten dan ook meer aandacht besteden aan een gelaagde beveiliging van Linux-servers en Linux-gebaseerde IoT-apparaten.
2. Klassieke antivirus presteert steeds slechter
Maar liefst 38 procent van alle door WatchGuard gedetecteerde dreigingen glipte in het eerste kwartaal van 2017 door de filters van de traditionele AV-oplossingen. Een kwartaal eerder was dit nog 30 procent. Zero-days slagen er dus steeds beter in om de antivirus te 'ontwijken'. Volgens WatchGuard onderstreept deze trend de zwakheid van signature-based detectieoplossingen en de noodzaak om te investeren in diensten die Advanced Persistent Threats detecteren en mitigeren.
3. Strijdtoneel verplaatst zich naar webservers
Drive-by downloads en browsergebaseerde aanvallen domineerden in het onderzochte kwartaal het beeld. 82 procent van de belangrijkste netwerkaanvallen was gericht op webservers of andere webgebaseerde services. Gebruikers moeten de beveiliging van webservers aanscherpen door rechten in te perken, minder informatie prijs te geven over de resources en de serversoftware te patchen.
4. Aanvallers misbruiken nog steeds de Android StageFright-kwetsbaarheid
Een exploit voor deze kwetsbaarheid dook in 2015 voor het eerst op en blijkt over een lange adem te beschikken. StageFright komt nu zelfs als eerste mobiele dreiging binnen in de top 10 dreigingen van het WatchGuard Threat Lab. WatchGuard adviseert Android-gebruikers om in ieder geval regelmatig een upgrade van het besturingssysteem uit te voeren.
5. Aanvallers namen even pauze
Vergeleken met het vierde kwartaal van 2016 daalde de hoeveelheid gedetecteerde malware in het eerste kwartaal van 2017 met 52 procent. Volgens WatchGuard houdt deze daling verband met malwarecampagnes gedurende de feestdagen die in het vierde kwartaal van 2016 juist voor een piek in malware zorgden.
Gedetailleerd inzicht
WatchGuards Internet Security Report is gebaseerd op geanonimiseerde data afkomstig van meer dan 26.500 actieve WatchGuard UTM-appliances wereldwijd die samen een klein deel vertegenwoordigen van de volledige installed base. De apparaten blokkeerden in Q1 meer dan zeven miljoen malwarevarianten en 2,5 miljoen netwerkaanvallen.
"De nieuwe Firebox Feed-data bieden een gedetailleerd inzicht in het continu veranderende dreigingslandschap", zegt Corey Nachreiner, chief technology officer bij WatchGuard. "De bevindingen in het Q1-rapport bevestigen nogmaals de noodzaak en effectiviteit van basale securitypolicy's, een gelaagde beveiligingsaanpak en geavanceerde malwarepreventie. We drukken de lezers op het hart om de bevindingen en gepresenteerde best practices te bestuderen en onderdeel te maken van de beveiligingsaanpak binnen de eigen organisatie."