Emotet goed voor 61% van kwaadaardige payloads blijkt uit Proofpoint-rapport

Proof­point heeft zijn Q1 2019 Threat Report uitge­bracht. Het rapport brengt de belang­rijkste bedrei­gingen en trends in kaart die Proof­point wereld­wijd heeft waar­ge­nomen. Zowel bij zijn klanten, als in het algemeen. De meest opval­lende conclusie is dat 61% van de kwaad­wil­lende payloads die Proof­point in Q1 2019 heeft waar­ge­nomen, te wijten is aan de verspreider van het Emotet botnet.

Proof­point kon de groeiende versprei­ding van Emotet natrekken en volgen hoe het van aard veran­derde van bancair Trojaanse paard naar een botnet. En hoe het “creden­tial stealers”, op zich staande down­lo­a­ders en Remote Access Trojans (RATs) in hoge mate blijft verdringen.

Voortdurende groei

De popu­la­ri­teit van Emotet is terug te zien in de voort­du­rende groei van aanvallen die gebruik­maken van kwaad­aar­dige URL’s ten opzichte van aanvallen die gebruik­maken van kwaad­aar­dige bijlagen. Proof­point heeft kunnen vast­stellen dat het aantal kwaad­aar­dige URL’s in e‑mails maar liefst vijf keer hoger lag in Q1 2019 dan het aantal kwaad­aar­dige bijlagen. Dit betekent een stijging van 180 procent in verhou­ding tot Q1 2018. Een groot deel van dit verkeer werd gedreven door het Emotet-botnet, zowel in het algemeen als wat betreft het overwicht van kwaad­aar­dige URL’s in berichten.

Massale opkomst

“De massale opkomst en veran­de­ring van Emotet laten zien hoe snel cyber­cri­mi­nelen nieuwe tools en tech­nieken voor verschil­lende aanvals­typen aanpassen op zoek naar het hoogste rendement”, aldus Sherrod DeGrippo, senior director Threat Research and Detection bij Proof­point. “Om zich zo goed mogelijk te verde­digen tegen snel veran­de­rende drei­gingen is het van cruciaal belang dat orga­ni­sa­ties een bevei­li­gings­aanpak imple­men­teren die de mens centraal stelt. Dit houdt in dat de meest aange­vallen gebrui­kers beschermd en getraind worden en er verde­di­gings­maat­re­gelen worden genomen om social engi­nee­ring aanvallen tegen te houden op alle kanalen; e‑mail, sociale media en web.”

Elke dag analy­seert Proof­point meer dan vijf miljard e‑mailberichten, honderden miljoenen sociale-media­be­richten en meer dan 250 miljoen malware-monsters om orga­ni­sa­ties over de hele wereld te beschermen tegen geavan­ceerde bedrei­gingen. Dit geeft Proof­point een unieke positie om de tactieken, tools en doelen van de huidige cyber­aan­vallen te analy­seren en te onthullen.

Email

Bancaire Trojaanse paarden maakten slechts 21 procent uit van de kwaad­aar­dige payloads die in Q1 via e‑mail werden verstuurd. De meest voor­ko­mende waren IcedID, The Trick, Qbot en Ursnif.
Afgezien van de klein­scha­lige GandCrab-campagnes bleef gijzel-software (ransom­ware) vrijwel afwezig in de eerste drie maanden van 2019, aangezien 82 procent van alle payloads ofwel Emotet ofwel de huidige bancaire Trojaanse paarden waren.

“Payment” haalde de bovenste plaats op de ranglijst van e‑mail-fraude-aanvallen, een stijging van 6% ten opzichte van Q4 2018.
In het eerste kwartaal van 2019 waren de engineering‑, auto­mo­biel- en onder­wijs­sector het vaakst het doelwit van e‑mail­fraude-aanvallen.
In alle branches hebben aange­vallen orga­ni­sa­ties gemiddeld 47 van derge­lijke aanvallen meege­maakt. Deze cijfers waren lager dan de record­hoogten van het vierde kwartaal van 2018, maar kunnen een teken zijn van steeds selec­tie­vere keuze van aanvals­doelen en seizoens­ge­bonden schommelingen.

Web-gebaseerde aanvallen

Gevallen van Coinhive kenden hun hoog­te­punt eind januari met 4,9 keer het week­ge­mid­delde van het kwartaal; het is niet verras­send dat het aantal gede­tec­teerde aanvallen na de sluiting van Coinhive in maart tot bijna nul zijn gedaald. Anderen vulden het gat in de illegale mining van cryp­to­munten op en cyber­cri­mi­nelen blijven in deze sector actief, ondanks de aanhou­dende vola­ti­li­teit van de markt.
Social engi­nee­ring-aanvallen via gecom­pro­mit­teerde websites en ‘malver­ti­sing’ daalden naar ongeveer 50 procent ten opzichte van het vierde kwartaal van 2018. Dit lijkt te wijten aan een seizoens­ge­bonden trend; de acti­vi­teit was echter nog steeds 16 keer hoger dan in hetzelfde kwartaal een jaar eerder.

Domein-fraude

Meer dan drie keer zoveel frau­du­leuze domeinen hadden een SSL-certi­fi­caat zoals legitieme domeinen in het eerste kwartaal van 2019. Dit geeft een vals gevoel van veilig­heid aan eind­ge­brui­kers die deze domeinen online en in e‑mail-aanvallen tegenkomen.

In het eerste kwartaal was het percen­tage domeinen dat als poten­tieel frau­du­leus werd geïden­ti­fi­ceerd en naar een IP-adres leidde 26 procent­punten hoger dan voor alle domeinen op het web. Het aandeel dat HTTP-antwoorden gene­reerde was 43 procent­punten hoger dan voor alle domeinen.

In maart waren er bijna evenveel regi­stra­ties van nage­maakte domeinen als in de twee maanden daarvoor bij elkaar opgeteld.

Stappen om cyberveiligheid te verbeteren

Orga­ni­sa­ties kunnen hun bedrijf en merk in de komende maanden beter beschermen door de volgende stappen te zetten:

• Ga ervan uit dat gebrui­kers zullen klikken: Social engi­nee­ring blijft groeien in popu­la­ri­teit als meest gebruikte manier om e‑mail-aanvallen te lanceren en crimi­nelen blijven nieuwe manieren vinden om de mense­lijke factor te misbruiken. Maak gebruik van een oplossing die zowel inkomende e‑mail-bedrei­gingen gericht op werk­ne­mers als uitgaande bedrei­gingen gericht op klanten iden­ti­fi­ceert en in quaran­taine plaatst voordat ze de inbox bereiken.
• Bouw een robuuste verde­di­ging tegen e‑mail-fraude op: Zeer gerichte aanvallen met lage volumes op zakelijke e‑mails gebruiken vaak geen kwaad­aar­dige software en zijn daarom lastig te detec­teren. Investeer in een oplossing met dyna­mi­sche clas­si­fi­catie-moge­lijk­heden die u kunt gebruiken om een quaran­taine- en blok­ke­rings­be­leid op te stellen.
• Bescherm merkre­pu­tatie en klanten: Bestrijd aanvallen op je klanten via sociale media, e‑mail en mobiele telefoons – vooral frau­du­leuze accounts die misbruik maken van je merk. Zoek naar een uitge­breide oplossing voor sociale media-bevei­li­ging die alle sociale netwerken scant en frau­du­leuze acti­vi­teiten rapporteert.
• Werk samen met een leve­ran­cier van bedrei­gings­in­for­matie: Kleinere, meer gerichte aanvallen vragen om geavan­ceerde infor­matie over bedrei­gingen. Maak gebruik van een oplossing die statische en dyna­mi­sche tech­nieken combi­neert om nieuwe aanvals-tools, tactieken en doelen te detec­teren en er vervol­gens van te leren.
• Leer gebrui­kers kwaad­aar­dige e‑mail te herkennen en te rappor­teren: Regel­ma­tige scho­lingen en gesi­mu­leerde aanvallen kunnen veel aanvallen stoppen en helpen bij het iden­ti­fi­ceren van mensen die bijzonder kwetsbaar zijn. De beste simu­la­ties bootsen de echte aanvals­tech­nieken na. Zoek naar oplos­singen die aansluiten bij de huidige trends en de nieuwste infor­matie over bedreigingen.