‘Meeste malware komt binnen via versleutelde verbindingen’

De overgrote meer­der­heid (91,5%) van de malware vindt zijn weg naar bedrijfs­net­werken via verbin­dingen met https-versleu­te­ling. Dat conclu­deert Watch­Guard Tech­no­lo­gies in de nieuwste editie van het Internet Security Report. De secu­ri­ty­spe­ci­a­list zag daarnaast een alar­me­rende stijging van het aantal aanvallen met ransom­ware en fileless malware in het tweede kwartaal van 2021. 

Het Internet Security Report infor­meert orga­ni­sa­ties over het actuele drei­gings­land­schap en reikt best practices voor IT-bevei­li­ging aan. Dit zijn de belang­rijkste conclu­sies uit het rapport voor Q2 2021:

• Malware komt massaal binnen via versleu­telde verbin­dingen – In Q2 werd 91,5% van de malware verstuurd via een versleu­telde verbin­ding, een forse toename ten opzichte van het kwartaal ervoor. Simpel gezegd: zonder https-inspectie wordt 9 van de 10 malware-aanvallen niet opgemerkt.
  
• Malware maakt gebruik van PowerS­hell-tools om bevei­li­ging te omzeilen – AMSI.Disable.A stond in Q1 voor het eerst in de malware-top 10 van Watch­Guard. In Q2 kwam deze malwa­re­fa­milie op de tweede plek in de lijst met meest voor­ko­mende malware en op plek één in de ranglijst met versleu­telde bedrei­gingen. Deze malware maakt gebruik van PowerS­hell-tools om verschil­lende kwets­baar­heden in Windows te misbruiken. Een opval­lende eigen­schap is de ontwij­kings­tech­niek. Watch­Guard ontdekte dat AMSI.Disable.A de Anti­mal­ware Scan Interface (AMSI) in PowerS­hell kan uitscha­kelen. Zo voorkomt de malware detectie tijdens beveiligingscontroles.
  
• Groei fileless bedrei­gingen zet door – Het aantal malwa­re­de­tec­ties afkomstig van scrip­tin­gen­gines zoals PowerS­hell kwam na een half jaar al uit op 80% van het totale aanvals­vo­lume in 2020. Daarmee blijft de dreiging van fileless malware in ongekend tempo groeien: met het huidige tempo gaat het om een verdub­be­ling op jaarbasis.
  
• Meer netwerk­aan­vallen ondanks transitie naar thuis­werken – Watch­Guard-appli­ances detec­teerde in Q2 bijna 5,1 miljoen netwerk­aan­vallen, een stijging van 22% ten opzichte van het eerste kwartaal. Het aanvals­vo­lume bereikte zelfs het hoogste niveau sinds begin 2018. Deze toename onder­streept het groeiende belang van netwerk­be­vei­li­ging in combi­natie met bescher­ming van gebruikers.
  
• Ransom­ware-aanvallen bezig aan opmars – Het aantal detecties van ransom­ware op endpoints zat tussen 2018 en 2020 in een neer­waartse trend. Maar in de eerste helft van 2021 kwam daar veran­de­ring in. In zes maanden tijden werd bijna evenveel ransom­ware waar­ge­nomen als in heel 2020. Als het aantal detecties in het restant van 2021 op hetzelfde niveau blijft, komt het totale volume 150% hoger uit dan in 2020.
  
• Oude kwets­baar­heden maken comeback – Meestal staan er een of twee nieuwe hand­te­ke­ningen in de top 10 van netwerk­aan­vallen. In Q2 waren het er maar liefst vier. Een daarvan is een vrij recente kwets­baar­heid in de populaire script­taal PHP, maar de rest is helemaal niet nieuw. Het gaat om een oude kwets­baar­heid in Oracle GlassFish Server (2011), een SQL-injectie-kwets­baar­heid in het elek­tro­nisch pati­ën­ten­dos­sier OpenEMR (2013) en een kwets­baar­heid in Microsoft Edge die het op afstand uitvoeren van code mogelijk maakt (2017). Deze systemen blijven een risico mits ongepatcht.
  
• Microsoft Office blijft een populair doelwit – De genoemde kwets­baar­heid in Microsoft Edge staat niet op zichzelf. In september kwam een verge­lijk­bare, ernstige kwets­baar­heid (CVE-2021–40444) in het nieuws die actief werd misbruikt voor gerichte aanvallen op Microsoft Office en Office 365 op Windows 10-computers. Cyber­cri­mi­nelen hebben het duidelijk nog steeds gemunt op Office. Gelukkig worden deze bewezen effec­tieve aanvals­me­thoden gede­tec­teerd door IPS-beveiliging.
  
• Meer malware-aanvallen op Exchange-servers en e‑mailgebruikers – Watch­Guard ziet een toename in het gebruik van malware gericht op Microsoft Exchange-servers en normale e‑mailgebruikers, met als doel het down­lo­aden van remote access trojans (RATs) naar vertrou­we­lijke locaties. Dit hangt waar­schijn­lijk samen met het feit dat in Q2 meer mensen weer naar kantoor gingen of het fysiek onderwijs (deels) hervatten. Belang­rijke tegen­maat­re­gelen zijn het versterken van security-awareness en het monitoren van uitgaande commu­ni­catie op apparaten, ongeacht waar de gebrui­kers zich bevinden.

Analyse: ransomware-aanval op Colonial Pipeline

Het Internet Security Report over Q2 2021 bevat ook een uitge­breide analyse van de ransom­ware-aanval op Colonial Pipeline van begin mei. Watch­Guard brengt de impact in kaart en schetst de impli­ca­ties voor de bevei­li­ging van vitale infra­struc­tuur. Daarnaast geeft het bedrijf adviezen voor de verde­di­ging tegen ransom­ware-aanvallen en het vertragen van de verspreiding. 

Gelaagde beveiliging

“Een groot deel van de wereld werkt nog steeds thuis of omarmt hybride werken”, zegt Corey Nachreiner, chief security officer bij Watch­Guard. “Goede netwerk­be­vei­li­ging blijft essen­tieel, maar is tege­lij­ker­tijd slechts één onderdeel van een gelaagde security. Krachtige endpoint­be­vei­li­ging en endpoint detection & response (EDR) worden steeds belangrijker.”

Het Internet Security Report van Watch­Guard is gebaseerd op geano­ni­mi­seerde data van tien­dui­zenden Watch­Guard-appli­ances overal ter wereld. U kunt het volledige rapport hier downloaden.