Witold Kepinski - 31 maart 2023

WatchGuard ziet fikse stijging in endpoint-ransomware

Versleutelde verbindingen zijn de voorkeursmethode geworden voor het afleveren van malware. Daarnaast blijft malware die verband houdt met phishingcampagnes een aanhoudende bedreiging vormen. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report. Hoewel het onderzoek over het vierde kwartaal van 2022 een afname in door netwerken gedetecteerde malware laat zien, nam het aantal ransomwareaanvallen op endpoints juist toe met maar liefst 627%.

WatchGuard ziet fikse stijging in endpoint-ransomware image

Ondanks dat er een algehele daling in malware is geconstateerd, ontdekten onderzoekers een hoger volume van malware bij het door Fireboxes versleutelde HTTPS (TLS/SSL)-verkeer. Dit suggereert dat malware zich verplaatst heeft naar versleuteld verkeer. De overgrote meerderheid van malware blijft daarmee onopgemerkt, omdat slechts 20% van de onderzochte Fireboxes ontsleuteling heeft ingeschakeld. Versleutelde malware-activiteit is een terugkerend thema in recente Threat Lab-rapporten.

Andere belangrijke bevindingen uit het Q4 Internet Security Report zijn:

Detecties van endpoint-ransomware stegen met 627%. Deze piek benadrukt de behoefte aan bescherming tegen ransomware, zoals moderne beveiligingscontroles voor proactieve preventie, en goede noodherstel- en bedrijfscontinuïteitsplannen (back-up).

93% van de malware verschuilt zich achter encryptie. Onderzoek van Threat Lab wijst nog steeds uit dat de meeste malware zich verbergt in de SSL/TLS-codering die door beveiligde websites wordt gebruikt. Q4 zet die trend voort met een stijging van 82% naar 93%. Securityprofessionals die dit verkeer niet inspecteren, missen waarschijnlijk de meeste malware en leggen een grotere verantwoordelijkheid op endpointbeveiliging om het op te vangen.

Netwerkgebaseerde malwaredetecties daalden in het vierde kwartaal met ongeveer 9,2% procent op kwartaalbasis. Hiermee zet de algemene daling van het aantal malwaredetecties in de afgelopen twee kwartalen voort. Malware in versleuteld webverkeer is zoals gezegd wel in opkomst. Volgens het Threat Lab-team schetst deze dalende trend mogelijk niet het volledige beeld. De onderzoekers hebben meer gegevens nodig die gebruikmaken van HTTPS-inspectie om deze bewering te bevestigen.

Endpoint-malwaredetecties met 22% toegenomen. Terwijl de detectie van netwerkmalware daalde, nam de hoeveelheid aangetroffen malware op endpoints in het vierde kwartaal toe. Dit ondersteunt de hypothese van het Threat Lab-team dat malware naar gecodeerde kanalen verschuift. Op de endpoint speelt TLS-codering een kleinere rol, aangezien een browser het decodeert zodat de endpointsoftware van Threat Lab deze kan zien. Van de belangrijkste aanvalsvectoren waren de meeste detecties gekoppeld aan scripts, die 90% van alle detecties vormden. Bij detecties van browser-malware richtten bedreigingsactoren zich het meest op Internet Explorer met 42% van de detecties, gevolgd door Firefox met 38%.

Zero day-malware is gedaald tot 43% in niet-versleuteld verkeer. Dat is nog altijd een aanzienlijk percentage van het totaal. Toch is het wel het laagste dat het Threat Lab-team in jaren heeft gezien. Datzelfde geldt beslist niet voor TLS-verbindingen. 70% van de malware via versleutelde verbindingen ontwijkt handtekeningen.

Toename phishingcampagnes. Drie van de malwarevarianten die in de top-10 van het rapport voorkomen, helpen bij verschillende phishingcampagnes. De meest gedetecteerde malwarefamilie, JS.Agent.UNS, bevat schadelijke HTML die gebruikers omleidt naar legitiem klinkende domeinen die zich voordoen als bekende websites. Een andere variant, Agent.GBPM, maakt een SharePoint-phishingpagina met de titel ‘PDF Salary_Increase’, die probeert toegang te krijgen tot accountgegevens van gebruikers. De laatste nieuwe variant in de top-10, HTML.Agent.WR, opent een valse DHL-notificatiepagina in het Frans met een inloglink die leidt naar een bekend phishingdomein. Phishing en het compromitteren van zakelijke e-mail (BEC) blijven een van de belangrijkste aanvalsvectoren. De onderzoekers adviseren dan ook zowel preventieve maatregelen als securityawareness-programma’s.

ProxyLogin-exploits blijven groeien. Een exploit voor dit bekende, kritieke Exchange-probleem steeg van de achtste plaats in Q3 2022 naar de vierde plaats in het afgelopen kwartaal. Het zou al lang gepatcht moeten zijn, maar is dat niet het geval, dan moeten securityprofessionals weten dat aanvallers het als doelwit hebben. Oude kwetsbaarheden kunnen net zo nuttig zijn voor aanvallers als nieuwe. Bovendien blijven veel aanvallers zich richten op Microsoft Exchange-servers of beheersystemen. Organisaties moeten op de hoogte zijn en weten waar ze hun inspanningen moeten inzetten om deze gebieden te verdedigen.

LockBit blijft een veelvoorkomende ransomwaregroep en malwarevariant. LockBit-varianten lijken dan ook het meeste succes te hebben bij het binnendringen van bedrijven (via hun gelieerde ondernemingen) met ransomware. Hoewel minder dan in Q3 2022, had LockBit opnieuw de meeste slachtoffers (149) van openbare afpersing (vergeleken met 200 in Q3). In het vierde kwartaal ontdekte het Threat Lab-team bovendien 31 nieuwe ransomware- en afpersingsgroepen.

"Een aanhoudende en zorgwekkende trend in onze gegevens en onderzoek toont aan dat encryptie - of beter gezegd het gebrek aan decryptie aan de netwerkperimeter - het volledige beeld van malware-aanvalstrends verbergt", zegt Corey Nachreiner, chief security officer bij WatchGuard. "Het is van cruciaal belang voor beveiligingsprofessionals om HTTPS-inspectie in te schakelen om ervoor te zorgen dat deze bedreigingen worden geïdentificeerd en aangepakt voordat ze schade aanrichten."

Internet Security Reports
De kwartaalrapporten van WatchGuard zijn gebaseerd op geanonimiseerde Firebox Feed-gegevens van actieve WatchGuard Fireboxes waarvan de eigenaren ervoor hebben gekozen gegevens te delen ter directe ondersteuning van de onderzoeksinspanningen van het Threat Lab.

In het vierde kwartaal blokkeerde WatchGuard in totaal meer dan 15,7 miljoen malwarevarianten (194 per apparaat) en meer dan 2,3 miljoen netwerkbedreigingen (28 per apparaat). Het volledige rapport bevat details over aanvullende malware- en netwerktrends vanaf het vierde kwartaal van 2022, aanbevolen beveiligingsstrategieën, kritieke verdedigingstips voor bedrijven van elke omvang en in elke sector, en meer.

Bekijk hier het volledige Q4 2022 Internet Security Report voor een meer diepgaande weergave van het onderzoek van WatchGuard.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW