Het aantal aanvallen met fileless malware is explosief gestegen. Dat blijkt uit onderzoek van WatchGuard Technologies. Het securitybedrijf detecteerde in 2020 bijna 900 procent meer ‘bestandsloze’ malware dan in 2019. WatchGuard waarschuwt daarnaast voor een comeback van cryptominers en een toename in het gebruik van versleutelde malware. De bevindingen staan beschreven in de nieuwste editie van het Internet Security Report.
Het Internet Security Report informeert bedrijven, hun partners en hun eindklanten over het actuele dreigingslandschap. Door de overname van Panda Security in juni 2020 bevat het rapport nu ook nieuwe inzichten rondom de beveiliging van endpoints. Dit zijn de belangrijkste conclusies in het Internet Security Report voor Q4 2020:
- Exponentiële groei fileless malware – In 2020 voerden cybercriminelen maar liefst 888 procent meer aanvallen met fileless malware uit dan in het jaar ervoor. Bestandsloze malware is extra gevaarlijk omdat het traditionele endpointbeveiliging omzeilt. Ook kan deze malware al binnenkomen als het slachtoffer op een verkeerde link klikt of een besmette website bezoekt. Toolkits zoals PowerSploit en CobaltStrike maken het zeer eenvoudig om schadelijke code te injecteren in andere processen. Hierdoor blijft een aanval operationeel, zelfs als de securityoplossing het originele script heeft verwijderd. Oplossingen voor endpoint detection & response, in combinatie met preventieve antimalware, helpen bij het identificeren van dergelijke bedreigingen.
- Cryptominers weer terug na dip in 2019 – Nadat begin 2018 de koersen van vrijwel alle cryptovaluta instortten, zakte het aantal besmettingen met cryptominers ver terug. In 2019 werden slechts 633 unieke varianten gedetecteerd. Aanvallers bleven echter cryptominer-modules toevoegen aan bestaande botnets om meer inkomsten te genereren, terwijl ze de netwerken van slachtoffers misbruikten voor andere vormen van cybercriminaliteit. In het vierde kwartaal van 2020 gingen de koersen weer omhoog. Mede hierdoor steeg het aantal gedetecteerde cryptominers naar 850, een groei van 25 procent ten opzichte van 2019.
- Opnieuw minder soorten ransomware – Voor het tweede jaar op rij daalde het aantal unieke ransomwarevarianten: van 5.489 in 2018 en 4.131 in 2019 naar 2.152 in 2020. Zo’n variant heeft mogelijk honderdduizenden endpoints overal ter wereld besmet. Het overgrote deel van de detecties komt voort uit handtekeningen die oorspronkelijk in 2017 zijn geïmplementeerd om WannaCry en gerelateerde varianten te detecteren. Dit toont aan dat gijzelwormen zo’n drie jaar na de WannaCry-uitbraak nog steeds floreren. De neerwaartse trend in het aantal varianten duidt op een verdere verschuiving van grootschalige, ongerichte aanvalscampagnes naar zeer gerichte aanvallen op zorginstellingen, maakbedrijven en andere organisaties die zich geen downtime kunnen veroorloven.
- Versleutelde en ontwijkende malware groeit met dubbele getallen – Het totale aantal malware-aanvallen neemt al vier kwartalen op rij af. Opvallend is echter dat bijna de helft (47%) van alle aanvallen die WatchGuard in Q4 bij de netwerkperimeter detecteerde, versleuteld was. Daarnaast werd 41 procent meer malware afgeleverd via https-verbindingen dan in Q3 en zag WatchGuard 22 procent meer versleutelde zeroday-malware.
- Botnet-malware gericht op IoT-devices en routers – Het Linux.Generic-virus (ook wel bekend als ‘The Moon’) maakte in Q4 zijn debuut in WatchGuard’s top tien van malwaredetecties. Deze malware is onderdeel van een netwerk van servers die misbruik maken van kwetsbaarheden in IoT-apparaten en netwerkapparaten voor consumenten, zoals routers. Onderzoek van WatchGuard bracht Linux-malware aan het licht die is ontworpen voor ARM-processors en een payload voor MIPS-processors. Hier lijkt dus sprake van een duidelijke focus op ontwijkende aanvallen op IoT-apparaten.
- SolarWinds-hack onderstreept ernst van supplychain-aanvallen – De geavanceerde hack bij SolarWinds, vermoedelijk het werk van statelijke actoren, heeft een enorme impact op de securityindustrie. De aanval raakt bijna 100 organisaties, waaronder een aantal Fortune 500-bedrijven, grote securitybedrijven en zelfs Amerikaanse overheidsinstellingen. Een uitgebreide analyse van het incident door WatchGuard laat zien hoe belangrijk een verdediging tegen suppylchain-aanvallen is in het huidige digitale ecosysteem.
- Nieuwe trojan fopt e-mailscanners met meerdere payloads – Trojan.Script.1026663 staat in WatchGuard’s top vijf met meest gedetecteerde malware over Q4. Deze aanval begint met een e-mail waarin slachtoffers wordt gevraagd om een lijst met bestellingen te controleren. Het document activeert vervolgens een reeks payloads en kwaadaardige code. Dit leidt uiteindelijk tot een aanval met de remote access trojan (RAT) en keylogger Agent Tesla.
- Volume netwerkaanvallen benadert piek uit 2018 – Het aantal netwerkaanvallen groeide in Q4 met 5 procent ten opzichte van het kwartaal ervoor en kwam daarmee op het hoogste niveau in ruim twee jaar tijd. Het aantal unieke netwerkaanvallen (qua handtekening) groeide eveneens gestaag door met 4 procent. Deze cijfers wijzen erop dat cybercriminelen hun pijlen nog steeds richten op het bedrijfsnetwerk, zelfs nu we massaal thuiswerken.
Belang van gelaagde beveiliging
“Cybercriminelen gaan steeds geraffineerder te werk”, zegt Corey Nachreiner, chief technology officer bij WatchGuard. “Een gelaagde, end-to-end beveiliging is belangrijker dan ooit om aanvallen af te slaan. Organisaties worden van alle kanten bestookt met fileless malware, cryptominers, versleutelde aanvallen en nog veel meer. Daarbij zijn zowel thuiswerkers als bedrijfsmiddelen binnen de traditionele grenzen van het netwerk een doelwit. Een effectieve verdediging bestaat tegenwoordig uit een mix van endpoint detection & response, netwerkbeveiliging en preventieve maatregelen zoals security-awarenesstrainingen en een strikt patchbeleid.”
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. U kunt het volledige rapport hier downloaden.