Het aantal malware- en netwerkaanvallen is in het derde kwartaal van 2019 flink gestegen. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Opvallend is de toenemende populariteit van netwerkaanvallen waarbij cybercriminelen gebruikmaken van kwetsbaarheden in Apache Struts. Zo’n aanval leidde ook tot het veelbesproken datalek bij de Amerikaanse kredietbeoordelaar Equifax in 2017.
Het Internet Security Report bevat relevante data, trends, onderzoeksuitkomsten en adviezen voor een solide verdediging. Het rapport geeft organisaties een beter inzicht in het huidige dreigingslandschap en maakt hen bewust van opkomende bedreigingen.
Dit zijn de belangrijkste conclusies in het rapport over Q3 2019:
- Netwerkaanvallen via kwetsbaarheden in Apache Struts
De top-10 met populairste netwerkaanvallen in Q3 bevat een nieuwkomer. Via Apache Struts 2 Remote Code Execution kunnen aanvallers Python installeren of een http-verzoek indienen om de exploit te gebruiken. Daar zijn slechts een paar regels code voor nodig. Op deze manier kan shell access tot een systeem worden verkregen. In de top-10 staan daarnaast nog twee Apache Struts-kwetsbaarheden. Het datalek bij Equifax heeft aangetoond dat zo’n aanval een enorme impact kan hebben. Webbeheerders doen er verstandig aan om bekende kwetsbaarheden zo snel mogelijk te patchen. Het totale aantal netwerkaanvallen is overigens met 8 procent toegenomen. - Microsoft Office-exploits blijven in trek
In de top-10 malware-aanvallen qua volume en de top-10 met meest wijdverspreide malware staan twee malwarevarianten die gericht zijn op Microsoft Office-producten. Dit wijst erop dat aanvallers enerzijds met een hogere frequentie Office-gebaseerde aanvallen uitvoeren, maar zich ook op meer verschillende doelwitten richten. Beide malwarevarianten worden vooral afgeleverd via e-mail. Dit onderstreept het belang van trainingen en voorlichting, zodat gebruikers gevaarlijke bijlages en phishingpogingen beter kunnen herkennen. - 50 procent van alle gedetecteerde malware is zeroday
Zeroday-malware was in de afgelopen kwartalen goed voor een stabiele 38 procent van alle gedetecteerde malware, maar in Q3 schoot dit omhoog naar 50 procent. De helft van de malware-aanvallen was dus in staat om traditionele signature-based oplossingen te omzeilen. Deze problematiek vraagt om gelaagde securitydiensten die bescherming bieden tegen geavanceerde, alsmaar evoluerende bedreigingen. Over de gehele linie werd er 4 procent meer malware gedetecteerd in vergelijking met het kwartaal daarvoor. Ten opzichte van Q3 2018 is zelfs sprake van een stijging van 60 procent. - Cybercriminelen maken mogelijk gebruik van pentesting-tools voor aanvallen
In de top-10 met malware qua volume staan ook twee nieuwe malwarevarianten waarbij Kali Linux-pentestingtools worden ingezet. Allereerst is er Boxter, een PowerShell-trojan waarmee programma’s zonder toestemming op een apparaat kunnen worden gedownload en geïnstalleerd. De tweede variant is Hacktool.JQ, naast Mimikatz de enige andere tool voor authenticatieaanvallen in de top-10. Mimikatz zelf werd 48 procent minder vaak waargenomen dan in Q2 en 16 procent minder dan in Q3 van 2018. Het is niet duidelijk of de opmars van Boxter en Hacktool.JQ het gevolg is van legitieme pentests of dat deze opensourcetools worden misbruikt voor aanvallen. In ieder geval blijven antimalwarediensten cruciaal om gegevensdiefstal te voorkomen. - Amerikaanse continent wordt bestookt met malware
Meer dan 42 procent van alle malware-aanvallen in het derde kwartaal was gericht op Noord-, Midden- en Zuid-Amerika. Dat is een forse stijging ten opzichte van Q2; toen ging het om slechts 27 procent. In dat kwartaal werd de meeste malware gedetecteerd in de EMEA- en APEC-regio. Deze regio’s komen nu uit op respectievelijk 30 procent en 28 procent van alle malware-aanvallen. Duidelijk is dat cybercriminelen nieuwe malwarecampagnes opzetten die specifiek gericht zijn op gebruikers op het Amerikaanse continent. Vooralsnog blijft het gissen naar de exacte beweegredenen hiervoor.
Kazachstan ontsleutelt https-verkeer
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard UTM-appliances overal ter wereld. Deze editie bevat verder onder meer DNSWatch-data over de schadelijkste internetdomeinen en een diepgaande analyse van het besluit van Kazachstan om al het https-verkeer in het land te ontsleutelen.
Gelaagde beveiliging
“Onze nieuwste threat intelligence laat zien hoe geavanceerd en divers het wapenarsenaal van cybercriminelen is”, zegt Corey Nachreiner, chief technology officer bij WatchGuard Technologies. “Zij hanteren niet alleen bekende aanvalsmethoden, maar zetten ook ontwijkende malware in en kapen producten, tools en domeinen die we elke dag gebruiken. Iedere organisatie – groot of klein – moet zichzelf, klanten en partners hiertegen beschermen. Dat vereist een gelaagde beveiliging die alles afdekt: van het bedrijfsnetwerk tot de endpoints en de gebruikers zelf.”