WatchGuard: toename in versleutelde malware en Office-exploits

Hoewel het aantal malw­are­aan­vallen in het tweede kwartaal afnam in verge­lij­king met voor­gaande kwartalen, nam het aandeel malware dat via versleu­telde verbin­dingen binnen­dringt juist fors toe. Dat conclu­deert Watch­Guard Tech­no­lo­gies in zijn nieuwste Internet Security Report. Ook het aantal Office-exploits kende een stijging.

Het Internet Security Report infor­meert orga­ni­sa­ties over het actuele drei­gings­land­schap en draagt best practices voor IT-bevei­li­ging aan. Dit zijn de belang­rijkste conclu­sies uit het rapport voor Q2 2022:

Office-exploits snelstgroeiende malwarecategorie

Exploits voor Microsoft Office maken een flinke opmars. Het belang­rijkste incident van het kwartaal was de Follina Office-exploit (CVE-2022–30190). Die werd voor het eerst gemeld in april en pas eind mei gepatcht. Follina werd geleverd via een kwaad­aardig document en kon Windows Protected View en Windows Defender omzeilen. Ook natie­staten maakten misbruik hiervan. Drie andere Office-exploits (CVE-2018–0802, RTF-ObfsObjDat.Gen en CVE-2017–11882) werden op grote schaal gede­tec­teerd in Duitsland en Griekenland.

Aantal malwa­re­be­smet­tingen daalt, maar groei van browser-exploits
Het aantal malwa­re­be­smet­tingen op endpoints slonk met 20%. Wel steeg het totale aantal browser-exploits met 23%. Chrome-exploits kende met een groei van 50% de sterkste stijging. Een mogelijke reden voor deze toename is de persis­tentie van verschil­lende zero-day-exploits. Scripts bleven verant­woor­de­lijk voor het leeu­wen­deel van de besmet­tingen (87%) in het tweede kwartaal.

ICS- en SCADA-systemen vaker doelwit

Het aantal aanvallen op ICS- en SCADA-systemen nam toe. Ook zagen de onder­zoe­kers een aantal nieuwe drei­gingen (WEB Directory Traversal ‑7 en WEB Directory Traversal ‑8). De twee hand­te­ke­ningen lijken erg op elkaar. De eerste maakt gebruik van een kwets­baar­heid die in 2012 voor het eerst werd ontdekt in een speci­fieke SCADA-inter­fa­cesoft­ware. De tweede werd het meest gesig­na­leerd in Duitsland.

Emotet blijft gevaar voor netwerken

Hoewel het volume sinds het afgelopen kwartaal is gedaald, blijft het Emotet-botnet een van de grootste bedrei­gingen voor netwerk­be­vei­li­ging. XLM.Trojan.abracadabra – een versleu­telde Win Code-injector die het Emotet-botnet verspreidt – werd veel gezien in Japan.

Ongrijpbaar

“Hoewel het aantal malware-aanvallen in het tweede kwartaal afnam ten opzichte van de record­hoogten in voor­gaande kwartalen, kwam meer dan 81% van de detecties via TLS-geco­deerde verbin­dingen. Daarmee is een zorg­wek­kende opwaartse trend voort­gezet”, zegt Corey Nachreiner, Chief Security Officer bij Watch­Guard. “Dit kan een weer­spie­ge­ling zijn van actoren die hun tactiek verleggen naar meer ongrijp­bare malware.”

Onderzoeksmethode

Het Internet Security Report van Watch­Guard is gebaseerd op geano­ni­mi­seerde data van tien­dui­zenden Watch­Guard-appli­ances overal ter wereld. U kunt het volledige rapport hier inzien en downloaden.