Emotet goed voor 61% van kwaadaardige payloads blijkt uit Proofpoint-rapport

30 mei 2019

Proofpoint heeft zijn Q1 2019 Threat Report uitgebracht. Het rapport brengt de belangrijkste bedreigingen en trends in kaart die Proofpoint wereldwijd heeft waargenomen. Zowel bij zijn klanten, als in het algemeen. De meest opvallende conclusie is dat 61% van de kwaadwillende payloads die Proofpoint in Q1 2019 heeft waargenomen, te wijten is aan de verspreider van het Emotet botnet.

Proofpoint kon de groeiende verspreiding van Emotet natrekken en volgen hoe het van aard veranderde van bancair Trojaanse paard naar een botnet. En hoe het “credential stealers”, op zich staande downloaders en Remote Access Trojans (RATs) in hoge mate blijft verdringen.

Voortdurende groei

De populariteit van Emotet is terug te zien in de voortdurende groei van aanvallen die gebruikmaken van kwaadaardige URL’s ten opzichte van aanvallen die gebruikmaken van kwaadaardige bijlagen. Proofpoint heeft kunnen vaststellen dat het aantal kwaadaardige URL’s in e-mails maar liefst vijf keer hoger lag in Q1 2019 dan het aantal kwaadaardige bijlagen. Dit betekent een stijging van 180 procent in verhouding tot Q1 2018. Een groot deel van dit verkeer werd gedreven door het Emotet-botnet, zowel in het algemeen als wat betreft het overwicht van kwaadaardige URL’s in berichten.

Massale opkomst

“De massale opkomst en verandering van Emotet laten zien hoe snel cybercriminelen nieuwe tools en technieken voor verschillende aanvalstypen aanpassen op zoek naar het hoogste rendement”, aldus Sherrod DeGrippo, senior director Threat Research and Detection bij Proofpoint. “Om zich zo goed mogelijk te verdedigen tegen snel veranderende dreigingen is het van cruciaal belang dat organisaties een beveiligingsaanpak implementeren die de mens centraal stelt. Dit houdt in dat de meest aangevallen gebruikers beschermd en getraind worden en er verdedigingsmaatregelen worden genomen om social engineering aanvallen tegen te houden op alle kanalen; e-mail, sociale media en web.”

Elke dag analyseert Proofpoint meer dan vijf miljard e-mailberichten, honderden miljoenen sociale-mediaberichten en meer dan 250 miljoen malware-monsters om organisaties over de hele wereld te beschermen tegen geavanceerde bedreigingen. Dit geeft Proofpoint een unieke positie om de tactieken, tools en doelen van de huidige cyberaanvallen te analyseren en te onthullen.

Email

Bancaire Trojaanse paarden maakten slechts 21 procent uit van de kwaadaardige payloads die in Q1 via e-mail werden verstuurd. De meest voorkomende waren IcedID, The Trick, Qbot en Ursnif.
Afgezien van de kleinschalige GandCrab-campagnes bleef gijzel-software (ransomware) vrijwel afwezig in de eerste drie maanden van 2019, aangezien 82 procent van alle payloads ofwel Emotet ofwel de huidige bancaire Trojaanse paarden waren.

“Payment” haalde de bovenste plaats op de ranglijst van e-mail-fraude-aanvallen, een stijging van 6% ten opzichte van Q4 2018.
In het eerste kwartaal van 2019 waren de engineering-, automobiel- en onderwijssector het vaakst het doelwit van e-mailfraude-aanvallen.
In alle branches hebben aangevallen organisaties gemiddeld 47 van dergelijke aanvallen meegemaakt. Deze cijfers waren lager dan de recordhoogten van het vierde kwartaal van 2018, maar kunnen een teken zijn van steeds selectievere keuze van aanvalsdoelen en seizoensgebonden schommelingen.

Web-gebaseerde aanvallen

Gevallen van Coinhive kenden hun hoogtepunt eind januari met 4,9 keer het weekgemiddelde van het kwartaal; het is niet verrassend dat het aantal gedetecteerde aanvallen na de sluiting van Coinhive in maart tot bijna nul zijn gedaald. Anderen vulden het gat in de illegale mining van cryptomunten op en cybercriminelen blijven in deze sector actief, ondanks de aanhoudende volatiliteit van de markt.
Social engineering-aanvallen via gecompromitteerde websites en ‘malvertising’ daalden naar ongeveer 50 procent ten opzichte van het vierde kwartaal van 2018. Dit lijkt te wijten aan een seizoensgebonden trend; de activiteit was echter nog steeds 16 keer hoger dan in hetzelfde kwartaal een jaar eerder.

Domein-fraude

Meer dan drie keer zoveel frauduleuze domeinen hadden een SSL-certificaat zoals legitieme domeinen in het eerste kwartaal van 2019. Dit geeft een vals gevoel van veiligheid aan eindgebruikers die deze domeinen online en in e-mail-aanvallen tegenkomen.

In het eerste kwartaal was het percentage domeinen dat als potentieel frauduleus werd geïdentificeerd en naar een IP-adres leidde 26 procentpunten hoger dan voor alle domeinen op het web. Het aandeel dat HTTP-antwoorden genereerde was 43 procentpunten hoger dan voor alle domeinen.

In maart waren er bijna evenveel registraties van nagemaakte domeinen als in de twee maanden daarvoor bij elkaar opgeteld.

Stappen om cyberveiligheid te verbeteren

Organisaties kunnen hun bedrijf en merk in de komende maanden beter beschermen door de volgende stappen te zetten:

  • Ga ervan uit dat gebruikers zullen klikken: Social engineering blijft groeien in populariteit als meest gebruikte manier om e-mail-aanvallen te lanceren en criminelen blijven nieuwe manieren vinden om de menselijke factor te misbruiken. Maak gebruik van een oplossing die zowel inkomende e-mail-bedreigingen gericht op werknemers als uitgaande bedreigingen gericht op klanten identificeert en in quarantaine plaatst voordat ze de inbox bereiken.
  • Bouw een robuuste verdediging tegen e-mail-fraude op: Zeer gerichte aanvallen met lage volumes op zakelijke e-mails gebruiken vaak geen kwaadaardige software en zijn daarom lastig te detecteren. Investeer in een oplossing met dynamische classificatie-mogelijkheden die u kunt gebruiken om een quarantaine- en blokkeringsbeleid op te stellen.
  • Bescherm merkreputatie en klanten: Bestrijd aanvallen op je klanten via sociale media, e-mail en mobiele telefoons – vooral frauduleuze accounts die misbruik maken van je merk. Zoek naar een uitgebreide oplossing voor sociale media-beveiliging die alle sociale netwerken scant en frauduleuze activiteiten rapporteert.
  • Werk samen met een leverancier van bedreigingsinformatie: Kleinere, meer gerichte aanvallen vragen om geavanceerde informatie over bedreigingen. Maak gebruik van een oplossing die statische en dynamische technieken combineert om nieuwe aanvals-tools, tactieken en doelen te detecteren en er vervolgens van te leren.
  • Leer gebruikers kwaadaardige e-mail te herkennen en te rapporteren: Regelmatige scholingen en gesimuleerde aanvallen kunnen veel aanvallen stoppen en helpen bij het identificeren van mensen die bijzonder kwetsbaar zijn. De beste simulaties bootsen de echte aanvalstechnieken na. Zoek naar oplossingen die aansluiten bij de huidige trends en de nieuwste informatie over bedreigingen.
Robbert Hoeffnagel

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This