Cybercriminelen verbergen steeds vaker geavanceerde malware in versleutelde datastromen

Het rapport analyseert de belangrijkste trends en dreigingen op het gebied van netwerk-, malware- en endpointbeveiliging. Enkele belangrijke bevindingen:

Alle malwaredetecties stijgen

Naast de 94% toename in netwerkgebaseerde malware, groeiden ook de algemene detecties. Gateway AntiVirus (GAV) zag een stijging van 6%, terwijl Advanced Persistent Threat (APT) Blocker-detecties toenamen met 74%.

De sterkste stijging werd gemeten bij IntelligentAV, een oplossing die op basis van machine learning dreigingen herkent. Het aandeel detecties via die oplossing steeg met 315%. Die cijfers onderstrepen dat aanvallers vaker gebruikmaken van versluiering en encryptie om traditionele beveiliging te ontwijken, en dat proactieve, AI-gedreven detectietechnologie onmisbaar wordt om deze dreigingen tijdig te stoppen.

Cryptomining keert terug als populaire aanvalsvorm

De detectie van cryptominers steeg met 141%. Criminelen installeren heimelijk miningsoftware op apparaten om cryptovaluta te delven. De toename wordt deels verklaard door de stijgende waarde van cryptomunten. Dat maakt deze tactiek opnieuw aantrekkelijk voor aanvallers.

Zero-daymalware terug op niveau van 53%

Na een dieptepunt van 20% in het derde kwartaal steeg het aandeel zero-daymalware in Q4 naar 53%. Daarmee bevestigt het rapport dat versleutelde verbindingen steeds vaker worden ingezet voor de verspreiding van geavanceerde en moeilijk detecteerbare dreigingen.

Tegelijkertijd minder unieke malware, meer generieke aanvallen

Hoewel het totale aantal unieke malwarevarianten met 91% afnam, wijzen de onderzoekers erop dat de dreiging niet is afgenomen. De focus verschuift van gerichte aanvallen naar grootschalige, generieke campagnes, waarbij ook versleuteling en camouflage een grote rol spelen.

Phishingdomeinen blijven ongewijzigd, dreiging onverminderd groot

De lijst met meestgebruikte phishingdomeinen bleef identiek aan die van het vorige kwartaal. Dat wijst op het aanhoudend gebruik van hardnekkige en impactvolle phishinginfrastructuur. Vooral phishingpagina’s met een SharePoint-uiterlijk blijven populair onder aanvallers. Daarmee proberen zij inloggegevens te stelen via nagebootste Office 365-portalen, een klassieke tactiek die nog altijd effectief blijkt.

Minder netwerkgerichte aanvallen, maar niet minder gevaarlijk

Het aantal netwerkgerichte aanvallen daalde met 27% vergeleken met Q3, maar traditionele methoden zoals SQL-injecties en brute-force-aanvallen blijven prominent aanwezig.

PowerShell blijft favoriet aanvalsmiddel bij endpoint-aanvallen

Living off-the-land-technieken, waarbij aanvallers legitieme systeemtools gebruiken zoals PowerShell of WMI, nemen sterk toe. In Q4 gebruikte 61% van alle endpoint-aanvalstechnieken PowerShell-injecties of scripts. Daarmee waren deze technieken goed voor bijna 83% van alle endpoint-aanvalsvectoren. Daarvan was bijna 97% direct te herleiden tot PowerShell.

Waakzaamheid blijft geboden

“De bevindingen laten zien dat het dreigingslandschap wordt gevormd door aanvallers die enerzijds blijven vertrouwen op oude gewoonten en gemakkelijk te misbruiken kwetsbaarheden, en anderzijds steeds vaker gebruikmaken van geavanceerde technieken om traditionele verdedigingsmechanismen te ontwijken”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard Technologies.

“De data benadrukken hoe belangrijk het is om waakzaam te blijven en de basis op orde te houden: systemen proactief updaten, afwijkend gedrag monitoren en gelaagde beveiliging inzetten om onvermijdelijke aanvallen te kunnen opvangen. Alleen zo kunnen organisaties de dreigingen van vandaag beperken en zich wapenen tegen wat nog komt.”

Het volledige Q4 2024 Internet Security Report is beschikbaar op de WatchGuard-website via deze link.