Het aantal malware-infecties op endpoints overtrof het totaal van 2020 in het derde kwartaal van 2021. Ook het aantal zero-day-aanvallen nam toe doordat malware via versleutelde verbindingen binnenkwam.
Dat is wat WatchGuard Technologies ontdekte in de laatste editie van zijn Internet Security Report. Het Internet Security Report informeert organisaties over het huidige dreigingslandschap en suggereert best practices voor IT-beveiliging.
Malware komt binnen via versleutelde communicatie
Meer en meer kwam malware binnen via versleutelde communicatie. In het derde kwartaal was dit een stijging van 31,6% naar 47% van de gevallen. Vaak waren dit eenvoudige, ongerichte malware-aanvallen. Het is nog steeds zorgwekkend, want volgens WatchGuard hebben veel organisaties geen controle over wat er via versleutelde communicatie komt.
Niet-gepatchte kwetsbaarheden in oudere software blijven een welkom toegangspunt voor aanvallers. De focus verschuift echter steeds meer naar het exploiteren van nieuwe kwetsbaarheden. Dit komt doordat veel gebruikers zijn overgestapt op de nieuwe Windows- en Office-varianten.
In het derde kwartaal van het jaar kwam CVE-2018-0802 in de top 10 van WatchGuard’s lijst van portal-antivirusmalware op nummer 6. Dit maakt misbruik van een kwetsbaarheid in de Equation Editor van Microsoft Office. In het voorgaande kwartaal stond het al op de lijst van meest voorkomende malware. Bovendien stonden twee Windows-code-injectoren (Win32/Heim.D en Win32/Heri) respectievelijk op nummer 1 en 6 in de lijst van meest gedetecteerde malware.
De Verenigde Staten zijn een onevenredig vaak slachtoffer
De overgrote meerderheid van netwerkaanvallen in het derde kwartaal was gericht op Noord- en Zuid-Amerika (64,5%), versus Europa (15,5%) en Azië-Pacific (20%).
Na opeenvolgende kwartalen van groei van meer dan 20%, ontdekte de Intrusion Prevention Service (IPS) van WatchGuard in het derde kwartaal bijna 4,1 miljoen unieke netwerkexploits. Door de daling van 21% kwamen de volumes terug op het niveau van het eerste kwartaal, dat nog steeds hoog was in vergelijking met het voorgaande jaar. Deze verschuiving betekent niet noodzakelijk dat de aanvallers falen. Zo kunnen ze hun aandacht richten op meer gerichte aanvallen.
Scriptaanvallen op eindpunten komen nog steeds veel voor
Aan het einde van het derde kwartaal detecteerden WatchGuard-systemen al 10% meer aanstootgevende scripts dan in heel 2020. Dat jaar was er al een stijging van 666% ten opzichte van het voorgaande jaar.
In gemengde zakelijke omgevingen is een robuuste perimeter niet langer voldoende om bedreigingen tegen te houden. Zelfs hackers met beperkte vaardigheden kunnen meestal de volledige malwarelading uitvoeren met behulp van scripttools zoals PowerSploit, PowerWare en Cobalt Strike. Deze aanvallen passeren de detectie van het primaire eindpunt onopgemerkt.
Zelfs beveiligde domeinen zijn gehackt
Door een protocolfout in het Microsoft Exchange Server Autodiscover-systeem konden aanvallers domeinreferenties verzamelen en veel domeinen binnendringen die als veilig worden vermeld. In totaal verbood WatchGuard Fireboxes in het derde kwartaal 5,6 miljoen kwaadaardige domeinen, waaronder verschillende nieuwe malwaredomeinen die software probeerden te installeren voor cryptomining, keyloggers en trojans voor externe toegang (RAT’s).
Phishing-domeinen die zich voordoen als SharePoint-sites om Office365-referenties te verzamelen, zijn ook vaak opgemerkt. Hoewel het aantal verboden domeinen met 23% is gedaald ten opzichte van het voorgaande kwartaal, is het nog steeds meerdere malen hoger dan het niveau van het vierde kwartaal van 2020 (1,3 miljoen). Dit benadrukt dat organisaties zich moeten concentreren op het up-to-date houden van servers, databases, websites en systemen met de nieuwste patches om de kans op aanvallen te verkleinen.
Na een sterke daling in 2020, bereikten de ransomware-aanvallen eind september 105% van het volume van 2020, en dit percentage zal waarschijnlijk 150% bereiken zodra de gegevens voor 2021 volledig zijn geanalyseerd. Ransomware als een service zoals REvil en GandCrap degraderen criminelen met weinig of geen codeervaardigheden. Deze services bieden infrastructuur- en malware-payloads voor wereldwijde aanvallen in ruil voor een percentage van het losgeld.
Het Kaseya-incident toont een kwetsbaarheid in de digitale toeleveringsketen
Begin juli 2021 meldden tientallen organisaties ransomware-aanvallen die gericht waren op hun endpoints. De aanvallers maakten misbruik van de REvil ransomware-as-a-service (RaaS) organisatie. De aanvallen maakten gebruik van drie zero-day-kwetsbaarheden in Kaseya VSA Remote Monitoring and Management (RMM), waaronder CVE-2021-30116 en CVE-2021-30118. Ongeveer 1.500 organisaties en mogelijk miljoenen endpoints worden getroffen. Uiteindelijk kon de FBI de servers van REvil hacken. Een paar maanden later kregen ze de decoderingssleutel in handen.
De aanval illustreert de noodzaak van proactieve beveiligingsmaatregelen. Overweeg regelmatige correcties en updates, wantrouwen en het principe van “least privilege” om toegang te krijgen tot leveranciers. Dit is de enige manier om de impact van aanvallen op de supply chain te verminderen.
lange termijn strategie
“Terwijl het totale aantal netwerkaanvallen in het derde kwartaal licht daalde, steeg het aantal malware per apparaat voor het eerst sinds het begin van de pandemie”, zegt Cory Nakrener, chief security officer bij WatchGuard. “Het is belangrijk voor organisaties om verder te kijken dan de korte termijn ups en downs van seizoensgebondenheid naar specifieke statistieken en zich te concentreren op aanhoudende en zorgwekkende trends die hun beveiligingsbeleid beïnvloeden. Een goed voorbeeld is het toenemende gebruik van versleutelde communicatie om zero-day te leveren.”
Het Internet Security Report van WatchGuard is gebaseerd op anonieme gegevens van tienduizenden WatchGuard-apparaten over de hele wereld. U kunt het volledige rapport downloaden hier om te downloaden.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”