91,5 procent van alle malware vindt zijn weg naar bedrijfsnetwerken via https-versleutelde verbindingen. Dit blijkt uit het laatste Internet Security Report van WatchGuard Technologies. Ook in het tweede kwartaal van 2021 ziet de beveiligingsspecialist een alarmerende toename van het aantal ransomware- en fileless malware-aanvallen.
Het Internet Security Report identificeert het huidige dreigingslandschap en biedt best practices voor IT-beveiliging. “Een groot deel van de wereld werkt nog steeds vanuit huis of omarmt hybride werk”, zegt Cory Naturener, Chief Security Officer van WatchGuard. “Een goede netwerkbeveiliging blijft essentieel, maar is tegelijkertijd slechts een onderdeel van meerlaagse beveiliging. Sterke endpointbeveiliging en endpoint discovery and response (EDR) worden steeds belangrijker.”
Enkele conclusies uit het rapport:
- Malware komt massaal binnen via versleutelde communicatie. In het tweede kwartaal werd 91,5% van de malware via een versleutelde verbinding verzonden, een aanzienlijke stijging ten opzichte van het voorgaande kwartaal. Simpel gezegd, zonder https te controleren, worden 9 van de 10 malware-aanvallen niet gedetecteerd.
- Malware gebruikt PowerShell-tools om de beveiliging te omzeilen. AMSI.Disable.A stond in het eerste kwartaal voor het eerst in de top 10 van malware van WatchGuard. In het tweede kwartaal stond deze malwarefamilie op de tweede plaats in de lijst van de meest populaire malware en de eerste in de lijst met crypto-bedreigingen. Deze malware gebruikt PowerShell-tools om verschillende kwetsbaarheden in Windows te misbruiken. Opvallend is de vermijdingstechniek. WatchGuard heeft gedetecteerd dat AMSI.Disable.A de Malware Scan Interface (AMSI) in PowerShell kan uitschakelen. Dit voorkomt dat malware wordt gedetecteerd tijdens beveiligingscontroles.
- Bestandsloze bedreigingen blijven groeien. Malwaredetecties van scriptengines zoals PowerShell hebben in 2020 na zes maanden al 80% van de totale aanvalsomvang bereikt. Dit betekent dat de bestandsloze malwaredreiging in een ongekend tempo blijft groeien: in het huidige tempo gaat het om een verdubbeling op jaarbasis.
- Meer netwerkaanvallen ondanks verhuizing naar huis. WatchGuard-apparaten hebben in het tweede kwartaal bijna 5,1 miljoen netwerkaanvallen gedetecteerd, een stijging van 22% ten opzichte van het eerste kwartaal. De aanvalsschaal bereikte het hoogste niveau sinds begin 2018. Deze toename onderstreept het groeiende belang van netwerkbeveiliging en gebruikersbescherming.
- Ransomware-aanvallen nemen toe. Het aantal ransomwaredetecties op endpoints vertoonde een dalende trend tussen 2018 en 2020. Maar dit veranderde in de eerste helft van 2021. In een half jaar tijd werd er ongeveer evenveel ransomware gedetecteerd als in heel 2020. Als het aantal vondsten in de rest van 2021 op hetzelfde niveau blijft, zal het totale volume 150% hoger zijn dan in 2020.
- Oude kwetsbaarheden keren terug. Er zijn meestal een of twee nieuwe handtekeningen in de top 10 van netwerkaanvallen. In Q2 waren dat er minstens vier. Een daarvan is een vrij recente kwetsbaarheid in de populaire programmeertaal PHP, maar de rest is helemaal niet nieuw. Dit is een legacy-kwetsbaarheid in Oracle GlassFish Server (2011), een OpenEMR SQL-injectie-kwetsbaarheid (2013) en een Microsoft Edge-kwetsbaarheid waarmee externe code kan worden uitgevoerd (2017). Deze systemen blijven riskant als ze niet worden gerepareerd.
- Microsoft Office is nog steeds een populair doelwit. Het beveiligingslek dat in Microsoft Edge wordt genoemd, staat niet op zichzelf. In september werd een vergelijkbare kritieke kwetsbaarheid (CVE-2021-40444) gepubliceerd en actief misbruikt bij gerichte aanvallen op Microsoft Office en Office 365 op pc’s met Windows 10. Het is duidelijk dat cybercriminelen Office nog steeds aanvallen. Gelukkig worden deze bewezen aanvalsmethoden door IPS Security aan het licht gebracht.
- Meer malware-aanvallen op Exchange-servers en e-mailgebruikers. WatchGuard ziet een toename in het gebruik van malware gericht op Microsoft Exchange-servers en reguliere e-mailgebruikers, met als doel het downloaden van Trojaanse paarden (RAT’s) voor externe toegang tot geheime websites. Mogelijk hangt dit samen met het feit dat in het tweede kwartaal van het jaar meer mensen terugkeerden naar kantoor of (gedeeltelijk) de lichamelijke opvoeding hervatten. Belangrijke tegenmaatregelen zijn onder meer het vergroten van het beveiligingsbewustzijn en het bewaken van uitgaande communicatie op verschillende apparaten, ongeacht waar gebruikers zich bevinden.
Ransomware-aanval op de koloniepijplijn
Het Q2 2021 Internet Security Report bevat ook een uitgebreide analyse van de ransomware-aanval op de Amerikaanse Colonial Pipeline begin mei. WatchGuard bewaakt de impact en identificeert de beveiligingsimplicaties van kritieke infrastructuur. Daarnaast geeft het bedrijf tips om je te verdedigen tegen ransomware-aanvallen en de verspreiding te vertragen.
Het Internet Security Report van WatchGuard is gebaseerd op anonieme gegevens van tienduizenden WatchGuard-apparaten over de hele wereld. volledig rapport Hier om te downloaden.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”