Emotet stijgt naar koppositie als grootste malware-familie in Q1

Amstelveen, 31 mei 2022 – – HP Inc. (NYSE: HPQ) kondigt aan dat het HP Wolf Security threat onderzoeksteam een stijging heeft vastgesteld van 27% van onderscheppingen door Emotet malicious spamcampagnes in Q1 2022, vergeleken met Q4 2021. Uit het meest recente wereldwijde HP wolf Security Threat Insights onderzoek – met analyses van cyberbeveiligingsaanvallen – blijkt dat Emotet 36 plaatsen is gestegen en dit kwartaal de meest gedetecteerde malwarefamilie is geworden (goed voor 9% van alle onderschepte malware). Een van deze campagnes – die was gericht op Japanse organisaties waarbij e-mails threats werden gebruikt om pc’s te hacken – was grotendeels verantwoordelijk voor een toename van 879% in .XLSM-malware (Microsoft Excel) –in vergelijking met vorig kwartaal.

Door aanvallen die beveiligingsmiddelen hebben ontweken en de eindgebruikers hebben bereikt, heeft HP Wolf Security specifiek inzicht verkregen in de nieuwste technieken die door cybercriminelen worden gebruikt. Bekende voorbeelden zijn:
• Schadelijke Microsoft Office-documenten worden populairder nu macro’s geleidelijk worden afgeschaft. Nu Microsoft is begonnen met het uitschakelen van macro’s, ziet HP een toename van niet-Office-gebaseerde formats, waaronder schadelijke Java Archive-bestanden (+476%) en JavaScript-bestanden (+42%) ten opzichte van vorig kwartaal.
• De bestandsgrootte van HTML smuggling nam toe van 3 KB tot 12 KB, een techniek waarbij cybercriminelen malware rechtstreeks in HTML-bestanden bouwen om e-mailgateways en beveiliging te omzeilen, voordat ze zich toegang verschaffen en financiële informatie stelen. Recente campagnes waren gericht op Latijns-Amerikaanse en Afrikaanse banken.
• “Twee voor één”-malwarecampagne leidt tot meerdere RAT virussen. Een Visual Basic-script aanval werd gebruikt om een kettingreactie te starten die resulteerde in meerdere virussen op hetzelfde apparaat, waardoor aanvallers toegang kregen tot de systemen met VW0rm, NjRAT en AsyncRAT.
“Onze gegevens over Q1 laten zien dat dit verreweg de grootste operatie is die we van Emotet hebben gezien sinds begin 2021 – een duidelijk signaal dat de operators zich aan het zijn hergroeperen, herstellen en investeren in de groei van het botnet. Emotet werd ooit door CISA beschreven als een van de meest destructieve en kostbare malware. De terugkeer van deze malware is dus slecht nieuws voor zowel bedrijven als de publieke sector”, aldus Alex Holland, Senior Malware Analyst, HP Wolf Security threat onderzoeksteam, HP Inc.

De bevindingen zijn gebaseerd op vele miljoenen gegevens van HP Wolf Security. HP Wolf Security spoort malware op door risicovolle opdrachten te openen in geïsoleerde, micro-virtuele machines (micro-VM’s) om de gebruiker te beschermen en de virussen te begrijpen en vast te leggen. Tot op heden hebben klanten van HP op meer dan 18 miljard e-mailbijlagen, webpagina’s en downloads geklikt zonder dat er melding is gemaakt van inbreuken. Deze gegevens bieden unieke inzichten in hoe bedreigers malware gebruiken.

Andere belangrijke bevindingen in het rapport zijn:
• 9% van de bedreigingen was nog niet eerder gevonden, waarbij 14% van de geïsoleerde e-mailmalware ten minste één e-mailgatewayscanner had omzeild.
• Het duurde gemiddeld meer dan 3 dagen (79 uur) om door hash bij andere beveiligingstools bekend te worden.
• 45% van de door HP Wolf Security geïsoleerde malware bestond uit Office-bestanden.
• Bedreigingen gebruikten 545 verschillende malwarefamilies in hun pogingen om organisaties aan te vallen, waarbij Emotet, AgentTesla en Nemucod de top drie vormden.
• Een Microsoft Equation Editor exploit (CVE-2017-11882) was goed voor 18% van alle gevonden kwalijke samples.
• 69% van de gedetecteerde malware werd via e-mail afgeleverd, terwijl webdownloads verantwoordelijk waren voor 18%. De meest voorkomende bijlagen die werden gebruikt om malware af te leveren waren documenten (29%), archieven (28%), uitvoerbare bestanden (21%), spreadsheets (20%).
• De meest voorkomende bijlagen die werden gebruikt om aan te vallen, waren spreadsheets (33%), bestanden en scripts (29%), archieven (22%) en documenten (11%).
• De meest voorkomende phishing-lokkers waren zakelijke transacties zoals “Bestelling”, “Betaling”, “Aankoop”, “Verzoek” en “Factuur”.
“Dit kwartaal zagen we een significante stijging van 27% in het volume van bedreigingen dat door HP Wolf Security werd onderschept. Omdat cybercriminelen hun aanpak aanpassen aan veranderingen in het IT-landschap, blijft het volume en de verscheidenheid van aanvallen toenemen en wordt het voor conventionele tools moeilijker om aanvallen te onderscheppen”, zegt Dr. Ian Pratt, Global Head of Security for Personal Systems, HP Inc. “Met een toename van alternatieve bestandstypen en technieken die worden gebruikt om beveiliging te omzeilen, moeten organisaties het over een andere boeg gooien en een gelaagde beveiliging hanteren. Door het principe van ‘least privilege’ toe te passen en de meest voorkomende bedreigingen te isoleren – van e-mail, browsers of downloads – wordt malware die wordt afgeleverd onschadelijk gemaakt. Hierdoor wordt de blootstelling van organisaties aan cyberbedreigingen drastisch verminderd.”

Door het isoleren van bedreigingen die beveiligingsmiddelen hebben omzeild en de eindgebruikers hebben bereikt, heeft HP Wolf Security specifiek inzicht in de nieuwste technieken die door cybercriminelen worden gebruikt.

Het HP Wolf Security team zal het Q1 2022 Threat Insights Report bespreken in een webinar op 7 juni om 17 uur , u kunt hier meer informatie vinden.

Over het rapprort
Deze gegevens zijn anoniem verzameld binnen virtuele machines van HP Wolf Security-klanten in de periode januari-maart 2022.

Over HP
HP Inc. is een technologiebedrijf dat gelooft dat één goed doordacht idee het vermogen heeft om de wereld te veranderen. Het product- en dienstenportfolio van persoonlijke computersystemen, printers en 3D-printoplossingen van HP helpt deze ideeën tot leven te brengen. Bezoek http://www.hp.nl voor meer informatie.