WatchGuard: toename in versleutelde malware en Office-exploits

Den Haag, 29 september 2022 – Hoewel het aantal malwareaanvallen in het tweede kwartaal afnam in vergelijking met voorgaande kwartalen, nam het aandeel malware dat via versleutelde verbindingen binnendringt juist fors toe. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook het aantal Office-exploits kende een stijging.

Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q2 2022:

• Office-exploits snelstgroeiende malwarecategorie
Exploits voor Microsoft Office maken een flinke opmars. Het belangrijkste incident van het kwartaal was de Follina Office-exploit (CVE-2022-30190). Die werd voor het eerst gemeld in april en pas eind mei gepatcht. Follina werd geleverd via een kwaadaardig document en kon Windows Protected View en Windows Defender omzeilen. Ook natiestaten maakten misbruik hiervan. Drie andere Office-exploits (CVE-2018-0802, RTF-ObfsObjDat.Gen en CVE-2017-11882) werden op grote schaal gedetecteerd in Duitsland en Griekenland.

• Aantal malwarebesmettingen daalt, maar groei van browser-exploits
Het aantal malwarebesmettingen op endpoints slonk met 20%. Wel steeg het totale aantal browser-exploits met 23%. Chrome-exploits kende met een groei van 50% de sterkste stijging. Een mogelijke reden voor deze toename is de persistentie van verschillende zero-day-exploits. Scripts bleven verantwoordelijk voor het leeuwendeel van de besmettingen (87%) in het tweede kwartaal.

• ICS- en SCADA-systemen vaker doelwit
Het aantal aanvallen op ICS- en SCADA-systemen nam toe. Ook zagen de onderzoekers een aantal nieuwe dreigingen (WEB Directory Traversal -7 en WEB Directory Traversal -8). De twee handtekeningen lijken erg op elkaar. De eerste maakt gebruik van een kwetsbaarheid die in 2012 voor het eerst werd ontdekt in een specifieke SCADA-interfacesoftware. De tweede werd het meest gesignaleerd in Duitsland.

• Emotet blijft gevaar voor netwerken
Hoewel het volume sinds het afgelopen kwartaal is gedaald, blijft het Emotet-botnet een van de grootste bedreigingen voor netwerkbeveiliging. XLM.Trojan.abracadabra – een versleutelde Win Code-injector die het Emotet-botnet verspreidt – werd veel gezien in Japan.

Ongrijpbaar
“Hoewel het aantal malware-aanvallen in het tweede kwartaal afnam ten opzichte van de recordhoogten in voorgaande kwartalen, kwam meer dan 81% van de detecties via TLS-gecodeerde verbindingen. Daarmee is een zorgwekkende opwaartse trend voortgezet”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard. “Dit kan een weerspiegeling zijn van actoren die hun tactiek verleggen naar meer ongrijpbare malware.”

Onderzoeksmethode
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. U kunt het volledige rapport hier inzien en downloaden.

Over WatchGuard Technologies
WatchGuard Technologies is wereldwijd leider in unified cybersecurity. Onze aanpak via het Unified Security Platform is speciaal ontworpen voor managed serviceproviders (MSP’s) om security van wereldklasse te bieden aan bedrijven dat hen helpt groeien en hun operationele efficiëntie helpt verbeteren. Bijna 17.000 resellers en serviceproviders vertrouwen op de producten en diensten van WatchGuard om meer dan 250.000 klanten over de hele wereld te beschermen. WatchGuard’s producten en diensten bevatten vijf essentiële elementen van een securityplatform: uitgebreide beveiliging, gedeelde kennis, overzicht & controle, operationele afstemming, en automatisering. Het hoofdkantoor is gevestigd in Seattle. Daarnaast heeft WatchGuard vestigingen in Noord-Amerika, Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Voor meer informatie kunt u terecht op www.watchguard.com.

Voor extra informatie, promoties en updates, volg WatchGuard op Twitter (@WatchGuard_NL) of via de LinkedIn-bedrijfspagina. Bezoek onze InfoSec-blog, Secplicity, voor meer realtime updates over de laatste dreigingen en hoe daarmee om te gaan: http://www.secplicity.org/ of beluister The 443 – Security Simplified Podcast voor het laatste cybersecuritynieuws.