zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Meeste malware komt binnen via versleutelde verbindingen

WatchGuard analyseert dreigingslandschap in Q3 2021

3 februari 2022 - Het aantal malwarebesmettingen op eindpoints oversteeg in Q3 van 2021 al het totale volume van 2020. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist zag daarnaast het aantal zero-day-aanvallen met malware dat binnenkomt via versleutelde verbindingen verder stijgen.

Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q3 2021:


 
•              Malware komt binnen via versleutelde verbindingen
Steeds vaker kwam malware binnen via versleutelde verbindingen. In Q3 ging het om een stijging van 31,6 procent naar 47 procent van de gevallen. Vaak ging het om niet-gerichte, eenvoudige malware-aanvallen. Toch is het zorgwekkend, want volgens WatchGuard controleren veel organisaties niet wat er via versleutelde verbindingen binnenkomt.
 
•              Aanvallers focussen op nieuwe kwetsbaarheden
Niet-gepatchte kwetsbaarheden in oudere software zijn voor aanvallers nog altijd een welkome ingang. Toch verschuift de focus steeds vaker naar misbruik van nieuwere kwetsbaarheden. Dat komt omdat veel gebruikers zijn overgestapt naar nieuwe Windows- en Office-varianten.
In Q3 kwam CVE-2018-0802 op nummer 6 binnen in de top 10 van WatchGuard's lijst van gateway-antivirus-malware. Deze maakt gebruik van een kwetsbaarheid in Equation Editor in Microsoft Office. In het voorgaande kwartaal kwam deze al in de lijst van meest verspreide malware voor. Bovendien kwamen twee Windows-code-injectoren (Win32/Heim.D en Win32/Heri) respectievelijk binnen op nummer 1 en 6 van de lijst met meest gedetecteerde malware.
 
•              De VS zijn disproportioneel vaak slachtoffer
Het overgrote deel van de netwerkaanvallen was in het derde kwartaal gericht op Noord- en Zuid-Amerika (64,5 procent), tegenover Europa (15,5 procent) en APAC (20 procent).
 
•              Het aantal netwerkaanvallen normaliseert, maar vormt nog steeds een groot risico
Na achtereenvolgende kwartalen van groei met meer dan 20 procent heeft WatchGuard's Intrusion Prevention Service (IPS) in het derde kwartaal ongeveer 4,1 miljoen unieke netwerkexploits gedetecteerd. De daling van 21 procent bracht de volumes terug op het niveau van het eerste kwartaal, dat nog steeds hoog was in vergelijking met het voorgaande jaar. De verschuiving betekent niet noodzakelijk dat de aanvallers het laten afweten. Zo verleggen ze hun aandacht mogelijk naar meer gerichte aanvallen.
 
•              Scriptingaanvallen op endpoints zijn nog altijd razend populair
Aan het einde van het derde kwartaal detecteerden de systemen van WatchGuard al 10 procent meer aanvalscripts dan in heel 2020. In dat jaar was er al een toename van 666 procent ten opzichte van het jaar daarvoor.
In hybride werkomgevingen is een sterke perimeter niet langer voldoende om bedreigingen tegen te houden. Zelfs hackers met beperkte vaardigheden kunnen doorgaans een malware-payload volledig uitvoeren met scriptingtools zoals PowerSploit, PowerWare en Cobalt Strike. Deze aanvallen komen ongezien langs basale endpointdetectie.
 
•              Zelfs veilige domeinen worden gecompromitteerd
Door een protocolfout in het Exchange Server Autodiscover-systeem van Microsoft konden aanvallers domeinreferenties verzamelen en verschillende als veilig te boek staande domeinen compromitteren. In totaal blokkeerden WatchGuard Fireboxes in het derde kwartaal 5,6 miljoen schadelijke domeinen, waaronder verschillende nieuwe malwaredomeinen die software proberen te installeren voor cryptomining, keyloggers en remote access trojans (RAT's).
Ook phishingdomeinen die zich voordoen als SharePoint-sites om Office365-inloggegevens te verzamelen werden vaak opgemerkt. Hoewel het aantal geblokkeerde domeinen met 23 procent is gedaald ten opzichte van het vorige kwartaal, is het nog steeds vele malen hoger dan het niveau van het vierde kwartaal van 2020 (1,3 miljoen). Dit benadrukt dat organisaties zich moeten concentreren op het up-to-date houden van servers, databases, websites en systemen met de nieuwste patches om zo de aanvalsmogelijkheden te beperken.
 
•              Ransomware blijft ongekend populair
Na een sterke daling in 2020 bereikten de ransomware-aanvallen tegen eind september 105 procent van het volume van 2020. Dat percentage komt waarschijnlijk op 150 procent uit, zodra de gegevens van het volledige jaar 2021 zijn geanalyseerd. Ransomware-as-a-service zoals REvil en GandCrap verlagen de lat voor criminelen met weinig of geen coderingsvaardigheden. Deze services leveren de infrastructuur en de malware-payloads voor wereldwijde aanvallen in ruil voor een percentage van het losgeld.
 
•              Het Kaseya-incident is exemplarisch voor de kwetsbaarheid van de digitale supplychain
Begin juli 2021 rapporteerden tientallen organisaties ransomware-aanvallen gericht op hun endpoints. Aanvallers maakten gebruik van de REvil ransomware-as-a-service (RaaS)-organisatie. Bij de aanvallen werd misbruik gemaakt van drie zero-day kwetsbaarheden in Kaseya VSA Remote Monitoring and Management (RMM), waaronder CVE-2021-30116 en CVE-2021-30118. Zo’n 1500 organisaties en mogelijk miljoenen endpoints werden getroffen. Uiteindelijk wist de FBI de servers van REvil te compromitteren. Een paar maanden later kregen zij de decryptiesleutel in handen.
De aanval toont de noodzaak van proactieve securitymaatregelen aan. Denk aan regelmatige patches en updates, het toepassen van zero-trust en het principe van 'least privilege' voor toegang tot leveranciers. Alleen zo kunnen zij de impact van aanvallen op de toeleveringsketen minimaliseren.
 
Langetermijnstrategie

"Terwijl het totale volume van netwerkaanvallen in het derde kwartaal licht kromp, steeg de malware per apparaat voor het eerst sinds het begin van de pandemie", aldus Corey Nachreiner, chief security officer bij WatchGuard. "Het is belangrijk dat organisaties verder kijken dan de korte-termijn ups en downs en de seizoensgebondenheid van specifieke statistieken en zich richten op aanhoudende en zorgwekkende trends die van invloed zijn op hun beveiligingsbeleid. Een belangrijk voorbeeld is het toenemend gebruik van versleutelde verbindingen voor het leveren van zero days."
 
Onderzoeksmethode
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. U kunt het volledige rapport hier downloaden.
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Een op de vier bedrijven niet bezig met klimaat en duurzaamheid
 Gen-Z’ers en Millennials zouden van baan veranderen voor bedrijf dat beter aansluit bij waarden
 Duurzaamheidsmanagement steeds belangrijker voor moderne bedrijven
 

Gerelateerde nieuwsitems

 Bijna 900 procent meer aanvallen met fileless malware
 IT-managers zien versleuteld verkeer als cyberdreiging
 Versleutelen van WAN-verbinding gebeurt te vaak niet
 Versleuteld dataverkeer vaker misbruikt door cybercriminelen
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
Human Design op de werkvloer voor teameffectiviteit en bedrijfsgroei
reacties
Top tien arbeidsmarktontwikkelingen 2022 (1) 
‘Ben jij een workaholic?’ (1) 
Een op de vier bedrijven niet bezig met klimaat en duurzaamheid (3) 
Eén op zeven Nederlanders staat niet achter aanbod van hun organisatie  (1) 
Drie manieren om te reageren op onterechte kritiek (1) 
Een cyber-survivalgids voor managers: hoe ga je om met cyberaanvallen?  (1) 
Mind your data (1) 
top10