Proofpoint geeft in zijn Q3 2019 Threat Report een overzicht van de belangrijkste bedreigingen en trends die het bedrijf heeft waargenomen bij zijn wereldwijde klantenbestand en in de wereld van cybercrime. Proofpoint ontdekte dat Emotet na vier maanden afwezigheid is teruggekeerd. In de laatste twee weken van september was het botnet goed voor bijna twaalf procent van alle schadelijke e‑mails die Proofpoint binnen het volledige derde kwartaal heeft waargenomen. Dit resulteerde in miljoenen berichten met schadelijke url’s of bijlagen.
Onderzoekers van Proofpoint zagen naast de terugkeer van Emotet een verandering op het gebied van sextortion. Een nieuwe vorm van malware werd ontdekt die concreet bewijs kan leveren voor de pornografische activiteiten van mensen. PsiXBot, een Remote Access Trojan (RAT), 
breidde zijn communicatiemogelijkheden in september uit met “PornModule”. Deze bevat een woordenboek met porno-gerelateerde trefwoorden en kan de titels van open tabbladen monitoren. Zodra een tabblad overeenkomt met de tekst wordt audio en video van de geïnfecteerde computer opgenomen. De opgenomen video wordt opgeslagen met een “.avi”-extensie en vervolgens naar de cybercrimineel gestuurd die hem (vermoedelijk) gebruikt voor afpersing. Sextortion bleef in het derde kwartaal een groot probleem. Zo werden er noemenswaardige campagnes via het Phorpiex-botnet verstuurd die gebruik maakten van social engineering.
breidde zijn communicatiemogelijkheden in september uit met “PornModule”. Deze bevat een woordenboek met porno-gerelateerde trefwoorden en kan de titels van open tabbladen monitoren. Zodra een tabblad overeenkomt met de tekst wordt audio en video van de geïnfecteerde computer opgenomen. De opgenomen video wordt opgeslagen met een “.avi”-extensie en vervolgens naar de cybercrimineel gestuurd die hem (vermoedelijk) gebruikt voor afpersing. Sextortion bleef in het derde kwartaal een groot probleem. Zo werden er noemenswaardige campagnes via het Phorpiex-botnet verstuurd die gebruik maakten van social engineering.Sextortion-malware
“Emotets terugkeer en de nieuwste sextortion-malware zijn slechts enkele voorbeelden van hoe cybercriminelen hun aanvallen continu vernieuwen en uitbreiden. Zij hopen hiermee op effectievere wijze individuen binnen organisaties te kunnen aanvallen”, aldus Chris Dawson, Threat Intelligence Lead bij Proofpoint. “Omdat het gebruik van social engineering toeneemt en aanvallen steeds geavanceerder worden, is het cruciaal dat organisaties een mensgerichte beveiligingsaanpak implementeren. Deze is erop gericht de gebruikers te beschermen en te trainen omdat zij het hoofddoelwit blijven.”
TA542, de groep cybercriminelen die verantwoordelijk is voor de distributie van Emotet, breidde zijn activiteiten ook uit naar andere landen, zoals Italië, Spanje, Japan, Hongkong, Japan en Singapore. TA542 is teruggevallen op methoden waarvan de groep begin 2019 was afgestapt. Bij zijn terugkeer maakte de groep gebruik van zeer gerichte, seizoensgebonden en actueel relevante lokmethoden, in plaats van generieke financiële thema’s. Zo zag Proofpoint op 23 september dat de cybercriminelen slachtoffers probeerden te misleiden met nieuwsberichten over Edward Snowden.
Additionele bevindingen uit het Q3 2019 Threat Report:
- Het totale aantal schadelijke url’s en bijlagen daalde met bijna 40 procent ten opzichte van het tweede kwartaal. Dit komt vooral door de afwezigheid van Emotet in de eerste tien weken van het derde kwartaal.
- 88 procent van alle malafide berichten in het derde kwartaal bevatte url’s met schadelijke inhoud. Dit is een lichte stijging ten opzichte van het tweede kwartaal, maar over het algemeen in lijn met de trend voor 2019.
- 26 procent van de frauduleuze domeinen maakte gebruik van SSL-certificaten, meer dan drie keer zo veel als het gemiddelde van alle domeinen. Dit draagt sterk bij aan de social engineering rondom deze domeinen, aangezien we zijn geconditioneerd om tijdens het browsen een hangslotje naast het webadres als teken van veiligheid te beschouwen.
- Ransomware kwam vrijwel niet voor als primaire payload in schadelijke e‑mails. Dit met uitzondering van kleinere aanvallen waarbij meestal Troldesh en Sodinokibi werden verspreid.
- Cybercriminelen gebruikten Keitaro TDS voor zowel malvertising als url-gebaseerde e‑mailaanvallen. Hierbij werd voortgebouwd op de trend van complexere aanvalsreeksen en omleidingen waarmee cybercriminelen hun activiteiten verbergen en een combinatie van methoden gebruiken, waaronder exploitkits.
