WatchGuard waarschuwt voor sterke opkomst zero-day malware

Den Haag, 28 september 2020 – Maar liefst 70 procent van alle cyberaanvallen tijdens het tweede kwartaal van 2020 zetten zero-day malware in. Dat is een stijging van 12 procent ten opzichte van het eerste kwartaal, zo blijkt uit het nieuwe Internet Security Rapport over Q2 van 2020 van securityleverancier WatchGuard Technologies. Deze malware omzeilt traditionele antivirus-handtekeningen en zijn hierdoor moeilijker detecteerbaar.

“Het zijn niet alleen legitieme bedrijven die hun activiteiten door COVID-19 hebben aangepast”, zegt Corey Nachreiner, CTO van WatchGuard. “Cybercriminelen zetten geavanceerde aanvalsmethoden in. We zien een lichte daling van 8 procent van het totaal aantal aanvallen, waarschijnlijk omdat meer mensen thuiswerken. Daartegenover zien we dat aanvallers traditionele antimalware gebaseerd op signatures weten te ontwijken. Het is van groot belang dat bedrijven dreigingen gaan detecteren op basis van het gedrag, cloud sandboxing inzetten en een gelaagde aanpak voeren om zowel hun eigen netwerk als dat van thuiswerkers te beschermen.”

Het volledige rapport bevat meer informatie voor organisaties, hun klanten en hun partners over de belangrijkste trends met betrekking tot malware- en netwerkaanvallen. De belangrijkste conclusies uit het WatchGuard kwartaalrapport voor Q2 2020 zijn:

• Criminelen blijven encryptie inzetten – Zero-day malware maakte onderdeel uit van meer dan twee derde van de in Q2 gedetecteerde aanvallen. Criminelen voerden 34 procent van hun acties uit over versleutelde HTTPS. Bedrijven die niet in staat zijn versleuteld verkeer te inspecteren, missen dus een derde van het inkomende kwaadaardige verkeer. Het percentage dreigingen die encryptie inzetten is weliswaar gedaald en maakte in Q1 64 procent van het totaal uit. Maar het malware-volume uitgestuurd via HTTPS-verkeer is sterk gestegen. Beheerders lijken de functie voor HTTPS-inspectie gevonden te hebben op hun Firebox-appliances, maar verdere maatregelen lijken absoluut nodig.

• Meer aanvallen met JavaScript – In Q2 bereikte een kwaadaardig script met de naam Trojan.Gnaeus de top-10 in de malwarelijst van WatchGuard. Dit script komt terug in bijna een op de vijf malwaredetecties. Met Gnaeus leiden hackers browserverkeer van het slachtoffer om naar een van hun eigen domeinen. Een andere veelvoorkomende JavaScript-aanval is J.S. PopUnder. Hierbij scant een verborgen script het systeem van het slachtoffer en blokkeert het detectiepogingen. Om dit soort aanvallen tegen te gaan, dienen organisaties browserextensies van onbekende bronnen te blokkeren, de nieuwste patches voor browsers toe te passen, betrouwbare adblockers in te zetten, en hun antimalware-engine geüpdatet te houden.

• Malware verstopt in versleutelde Excelbestanden – Een andere nieuwe binnenkomer in de top-10 van WatchGuard is XML-Trojan.Abracadabra. Deze malwarevariant neemt sinds april in populariteit toe en is verstopt in een Excelbestand dat is versleuteld met het wachtwoord ‘VelvetSweatshop’, het standaardwachtwoord voor dergelijke documenten. Excel voert na opening van het bestand een macro VBA-script uit als executable. Door deze versleuteling omzeilt Abracadabra de meeste antivirusoplossingen. Daarom moeten organisaties macro’s van een onbekende bron altijd blokkeren en sandboxing in de cloud toepassen om de daadwerkelijke aard van dit soort bestanden vast te stellen.

• Klassieke DoS-aanvallen maken een comeback – Een zes jaar oude Denial-of-Service (DoS)-aanval op WordPress en Drupal is tijdens het tweede kwartaal in de top-10 van netwerkaanvallen terechtgekomen. Iedere niet-gepatchte installatie van Drupal en WordPress is kwetsbaar voor deze zeer ernstige aanval. Kwaadwilligen leggen hiermee de CPU-kracht en geheugen van de onderliggende hardware plat. Het aantal aanvallen lag hoog, maar was vooral geconcentreerd op enkele tientallen netwerken, met name in Duitsland. Omdat DoS-scenario’s vragen om constant verkeer richting het slachtoffer, is het zeer waarschijnlijk dat criminelen hun doelen bewust uitkiezen.

• Malwaredomeinen zaaien chaos met command and control servers – Twee nieuwe domeinen zijn in Q2 in de WatchGuard top-10 malwaredomeinen verschenen. De meest gebruikte is findresults[.]site. Deze zet een C&C-server in voor een trojan-variant van Dadobra. Bij het opstarten van Windows creëert de trojan een verborgen bestand met bijbehorende registry voor het naar buiten sluizen van data en het downloaden van aanvullende malware. WatchGuard kreeg ook bericht van een gebruiker over Cioco-froll[.]com. Dit roept een andere C&C-server aan die een – vaak als PDF – verborgen variant van het Asprox-botnet ondersteunt. Een C&C-baken laat de aanvaller weten dat het systeem aan het botnet kan worden toegevoegd. Detectie en blokkade van deze dreiging kan met DNS-firewalling, ongeacht het applicatieprotocol.

De kwartaalrapporten van WatchGuard zijn gebaseerd op anonieme data uit de Firebox Feed. Deze data worden geleverd door WatchGuard-appliances waarvan de eigenaren toestemming hebben gegeven om gegevens te delen. Bijna 42.000 appliances leverden data voor Q2, waardoor meer dan 28,5 miljoen malwarevarianten zijn geïdentificeerd (gemiddeld 684 per apparaat) en 1.75 miljoen netwerkdreigingen (42 per apparaat). In totaal zijn in het tweede kwartaal 410 unieke aanvallen verzameld. Dat is een toename van 15 procent ten opzichte van het eerste kwartaal van dit jaar, en het hoogste aantal sinds het vierde kwartaal van 2018.

Het volledige rapport bevat informatie voor organisaties en biedt advies over de te volgen strategie en best practices ter bescherming. Tot slot bevat het onderzoek een diepgravende analyse van een recent datalek veroorzaakt door hackerscollectief ShinyHunters.

Lees hier het volledige Internet Security Report van WatchGuard over Q2 2020: https://www.watchguard.com/wgrd-resource-center/security-report-q2-2020