Wouter Hoeffnagel - 04 januari 2023

WatchGuard: Aanvallen op industriële controlesystemen nemen toe

De gevaarlijkste dreiging van Q3 in 2022 werd uitsluitend via versleutelde verbindingen gedetecteerd. Daarnaast zijn adversary-in-the-middle-aanvallen (ook bekend als man-in-the-middle-aanvallen) steeds meer gemeengoed. Ook de aanvallen op industriële controlesystemen (ICS) nemen toe.

Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Het rapport informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan.

Overgrote meerderheid van de malware komt via versleutelde verbindingen

Hoewel de malware Agent.IIQ Q3 2022 op de derde plaats stond in de normale top-10 van malware, staat het bovenaan de lijst van versleutelde malware. Alle Agent.IIQ-detecties zijn afkomstig van versleutelde verbindingen. Dat is onderdeel van een bredere trend: 82% van alle gedetecteerde malware was afkomstig van een versleutelde verbinding.

ICS- en SCADA-systemen blijven populaire aanvalsdoelen

Nieuw in de top 10 lijst van netwerkaanvallen dit kwartaal is een aanval van het type SQL-injectie die verschillende leveranciers trof. Een van deze bedrijven is Advantech, wiens WebAccess-portaal wordt gebruikt voor SCADA-systemen in diverse kritieke infrastructuren. Een andere ernstige exploit in het derde kwartaal betrof de U.motion Builder-software van Schneider Electric, versie 1.2.1 en ouder.

Kwetsbaarheden in Exchange-server blijven een risico vormen

De meest recente CVE onder de nieuwe handtekeningen van het Threat Lab dit kwartaal, CVE-2021-26855, is een Microsoft Exchange Server Remote Code Execution (RCE)-kwetsbaarheid voor on-premises servers. Deze RCE-kwetsbaarheid kreeg een CVE-score van 9,8 en het is bekend dat er misbruik van is gemaakt. Het merendeel van de servers is inmiddels gepatcht, maar niet allemaal.

Aanvallers richten pijlen op gratis software

De seedloader Fugrafa downloadt malware die kwaadaardige code injecteert. Dit kwartaal onderzocht het Threat Lab een monster ervan dat werd aangetroffen in een cheat-engine voor het populaire spel Minecraft. Het Threat Lab ontdekte dat dit specifieke voorbeeld connecties heeft met Racoon Stealer, een cryptocurrency-hackingcampagne die gebruikt wordt om accountinformatie van cryptocurrency-uitwisselingsdiensten te kapen.

Aanvallers kijken verder dan cryptominingsites

Nog steeds zijn nietsvermoedende gebruikers vaak het slachtoffer van malware. Met drie nieuwe toevoegingen aan de lijst van topmalwaredomeinen waren er in Q3 meer malware en nieuwe malwaredomeinen dan gewoonlijk. Steeds vaker zullen aanvallers daarbij naar nieuwe categorieën websites zoeken, nu cryptocurrency in roerig vaarwater is gekomen.

JavaScript-versluiering in exploitkits

JavaScript is een veelvoorkomende vector voor het aanvallen van gebruikers. Cybercriminelen gebruiken voortdurend exploitkits op basis van JavaScript. Naarmate de verdedigingswerken van browsers zijn verbeterd, is ook het vermogen van aanvallers om schadelijke JavaScript-code te versluieren toegenomen.

Anatomie van gestandaardiseerde adversary-in-the-middle aanvallen

Adversary-in-the-middle (AitM)-aanvallen zijn snel in opkomst. Het onderzoek van het Threat Lab naar EvilProxy, het belangrijkste beveiligingsincident van het derde kwartaal, laat zien hoe kwaadwillenden beginnen over te schakelen op geavanceerdere AitM-technieken. De release van een AitM-toolkit genaamd EvilProxy heeft de drempel voor toegang tot wat voorheen een geavanceerde aanvalstechniek was, aanzienlijk verlaagd.

Belang van HTTPS-inspectie

"We kunnen niet genoeg benadrukken hoe belangrijk het is dat organisaties HTTPS-inspectie toepassen. De meerderheid van de malware komt binnen via versleutelde HTTPS, en als je die niet inspecteert, mis je die bedreigingen", aldus Corey Nachreiner, chief security officer bij WatchGuard Technologies. "Terecht verdienen ook de belangrijke doelwitten zoals een Exchange-server of een SCADA-beheersysteem buitengewone aandacht. Het is belangrijk patches direct uit te rollen, want aanvallers zullen uiteindelijk profiteren van elke organisatie die de nieuwste patch nog moet implementeren."
 
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. Het rapport is hier beschikbaar.

Axians 12/11/2024 t/m 26/11/2024 BN+BW