Het aantal malware- en netwerkaanvallen is in het derde kwartaal van 2019 flink gestegen. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report.
Het Internet Security Report geeft organisaties inzicht in het huidige dreigingslandschap en maakt hen bewust van opkomende bedreigingen. Dit zijn de belangrijkste conclusies in het rapport over Q3 2019.
Apache Struts
Allereerst blijkt uit het onderzoek dat Netwerkaanvallen via kwetsbaarheden in Apache Struts sterk toenamen. Via Apache Struts 2 Remote Code Execution kunnen aanvallers Python installeren of een http-verzoek indienen om de exploit te gebruiken. Daar zijn slechts een paar regels code voor nodig. Op deze manier verkrijgen indringers shell access tot een systeem. In de top-10 staan daarnaast nog twee Apache Struts-kwetsbaarheden. Een dergelijke aanval kan een enorme impact hebben op een organisatie. Webbeheerders doen er verstandig aan om bekende kwetsbaarheden zo snel mogelijk te patchen. Het totale aantal netwerkaanvallen nam overigens in Q3 met 8 procent toeg.
Microsoft Office-exploits
In de top-10 malware-aanvallen qua volume en de top-10 met meest wijdverspreide malware staan twee malwarevarianten die gericht zijn op Microsoft Office-producten. Dit wijst erop dat aanvallers enerzijds met een hogere frequentie Office-gebaseerde aanvallen uitvoeren, maar zich ook op meer verschillende doelwitten richten. Beide malwarevarianten worden vooral afgeleverd via e-mail. Dit onderstreept het belang van trainingen en voorlichting, zodat gebruikers gevaarlijke bijlages en phishingpogingen beter kunnen herkennen.
50% Zeroday
Zeroday-malware was in eerdere kwartalen goed voor een stabiele 38 procent van alle gedetecteerde malware, maar in Q3 schoot dit omhoog naar 50 procent. De helft van de malware-aanvallen was dus in staat om traditionele signature-based oplossingen te omzeilen. Deze problematiek vraagt om gelaagde securitydiensten die bescherming bieden tegen geavanceerde, alsmaar evoluerende bedreigingen. Over de gehele linie rapporteert WatchGuard 4 procent meer malware in vergelijking met het kwartaal daarvoor. Ten opzichte van Q3 2018 is zelfs sprake van een stijging van 60 procent.
Pentesting-tools voor aanvallen
In de top-10 met malware qua volume staan ook twee nieuwe malwarevarianten waarbij Kali Linux-pentestingtools worden ingezet. Allereerst is er Boxter, een PowerShell-trojan waarmee programma’s zonder toestemming op een apparaat kunnen worden gedownload en geïnstalleerd. De tweede variant is Hacktool.JQ, naast Mimikatz de enige andere tool voor authenticatieaanvallen in de top-10. Mimikatz zelf werd 48 procent minder vaak waargenomen dan in Q2 en 16 procent minder dan in Q3 van 2018. Het is niet duidelijk of de opmars van Boxter en Hacktool.JQ het gevolg is van legitieme pentests of dat deze opensourcetools worden misbruikt voor aanvallen. In ieder geval blijven antimalwarediensten cruciaal om gegevensdiefstal te voorkomen.
Amerika bestookt met malware
Meer dan 42 procent van alle malware-aanvallen in het derde kwartaal was gericht op Noord-, Midden- en Zuid-Amerika. Dat is een forse stijging ten opzichte van Q2; toen ging het om slechts 27 procent. In dat kwartaal werd de meeste malware gedetecteerd in de EMEA- en APEC-regio. Deze regio’s komen nu uit op respectievelijk 30 procent en 28 procent van alle malware-aanvallen. Duidelijk is dat cybercriminelen nieuwe malwarecampagnes opzetten die specifiek gericht zijn op gebruikers op het Amerikaanse continent. Vooralsnog blijft het gissen naar de exacte beweegredenen hiervoor.
Kazachstan ontsleutelt https-verkeer
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard UTM-appliances overal ter wereld. Deze editie bevat verder onder meer DNSWatch-data over de schadelijkste internetdomeinen en een diepgaande analyse van het besluit van Kazachstan om al het https-verkeer in het land te ontsleutelen.
Gelaagde beveiliging
“Onze nieuwste threat intelligence laat zien hoe geavanceerd en divers het wapenarsenaal van cybercriminelen is”, zegt Corey Nachreiner, chief technology officer bij WatchGuard Technologies. “Zij hanteren niet alleen bekende aanvalsmethoden, maar zetten ook ontwijkende malware in en kapen producten, tools en domeinen die we elke dag gebruiken. Iedere organisatie – groot of klein – moet zichzelf, klanten en partners hiertegen beschermen. Dat vereist een gelaagde beveiliging die alles afdekt: van het bedrijfsnetwerk tot de endpoints en de gebruikers zelf.”
