Driekwart van alle dreigingen in eerste kwartaal kwam van zerodaymalware

Bijna driekwart van alle bedreigingen in het eerste kwartaal van 2021 was zerodaymalware. Dit type malware is extra gevaarlijk omdat het niet geblokkeerd wordt door traditionele antivirusoplossingen. In het rapport waarschuwt de securityspecialist verder voor een toename van het aantal netwerkaanvallen en het hergebruik van klassieke aanvalstechnieken.

Dat constateert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. Dit rapport informeert bedrijven over het dreigingslandschap en reikt best practices voor IT-beveiliging aan. Het rapport bevat onderzoeksdata, analyses van experts en actuele inzichten op het gebied van malware- en netwerkaanvallen.

Fileless malware XMJSLoader wint aan populariteit

XMLJSLoader staat voor het eerst in WatchGuard’s ranglijsten met de vaakst gedetecteerde en meest wijdverspreide malware. Deze variant kwam in Q1 ook het vaakst aan het licht bij HTTPS-inspectie. De door WatchGuard geïdentificeerde sample maakt gebruik van een XML external entity (XXE)-aanval om het PowerShell-uitvoerbeleid te omzeilen.

De malware heeft geen interactie met de gebruiker of het slachtoffer en blijft zo verborgen. De opkomst van XMLJSLoader en andere fileless malware onderstreept het belang van geavanceerde endpointbeveiliging.

Simpel trucje met bestandsnaam vermomt ransomware als PDF-bijlage

De ransomwareloader Zmutzy, specifiek geassocieerd met de ransomware Nibiru, behoorde in Q1 tot de meest gebruikte versleutelde malware. Slachtoffers zien een zipbestand als e-mailbijlage of als download van een malafide website. Na opening wordt een uitvoerbaar bestand gedownload dat eruitziet als een legitieme PDF. De aanvallers vervangen een punt in de bestandsnaam door een komma en passen het icoontje handmatig aan.

Dit type aanval laat zien hoe belangrijk het is om werknemers te trainen in gevaarherkenning, en om back-upoplossingen te implementeren voor het geval dat zo’n aanval tot een ransomwarebesmetting leidt.

Cybercriminelen blijven IoT-apparaten aanvallen

De malwarevariant Linux.Ngioweb.B is recent ingezet voor aanvallen op IoT-apparaten. De eerste versie die WatchGuard aantrof was gericht op Linux-servers die WordPress draaien en kwam binnen als een extended format language (EFL)-bestand. Een andere versie van deze malware neemt IoT-apparaten op in een botnet met wisselende command & control-servers.

WatchGuard-appliances detecteerden in Q1 meer dan 4 miljoen netwerkaanvallen, een stijging van 21 procent ten opzichte van het kwartaal ervoor en het hoogste volume sinds begin 2018. Ondanks de transitie naar thuis- en hybride werken zijn bedrijfsservers en -assets op kantoor nog steeds een belangrijk doelwit voor cybercriminelen. Goede netwerkbeveiliging blijft dus essentieel, in combinatie met maatregelen ter bescherming van gebruikers.

Oude aanvalstechniek maakt comeback

WatchGuard ontdekte een dreiging met een nieuwe handtekening waarbij gebruik wordt gemaakt van een directory traversal-aanval via CAB-bestanden. Dit archiveringsformaat van Microsoft is bedoeld voor datacompressie zonder verlies van gegevens en ingebouwde digitale certificaten. Deze exploit, die dit kwartaal voor het eerst is opgenomen in WatchGuard’s top 10 netwerkaanvallen, verleidt gebruikers via conventionele technieken om een schadelijk CAB-bestand te openen. Of er wordt een met het netwerk verbonden printer geïmiteerd (‘gespooft’) om een gebruiker aan te zetten tot het installeren van een printerdriver via een CAB-bestand.

In maart maakte Microsoft bekend dat cybercriminelen zonder authenticatie acties konden uitvoeren en schrijftoegang konden krijgen op mailservers die zijn aangesloten op internet. Het betrof mailservers die niet waren gepatcht voor de vier HAFNIUM-kwetsbaarheden in verschillende versies van Exchange Server. WatchGuard heeft deze kwetsbaarheden uitvoerig geanalyseerd. In het rapport staan cruciale beschermende maatregelen zoals HTTPS-inspectie, een strikt patchbeleid en het vervangen van legacysystemen.

Aanvallers kapen legitieme domeinen voor cryptomining

WatchGuard’s DNSWatch-dienst blokkeerde in Q1 diverse gekaapte en schadelijke domeinen die werden ingezet voor cryptomining. Cryptominermalware is populairder geworden door koersstijgingen van cryptovaluta en vanwege het feit dat het zeer eenvoudig is om hiermee ongemerkt stroom en rekenkracht te stelen.

“In het afgelopen kwartaal detecteerden we meer zerodaymalware dan ooit tevoren”, zegt Corey Nachreiner, chief security officer bij WatchGuard. “Organisaties moeten hun verdediging aanscherpen om deze malware buiten de deur te houden. Traditionele antimalware-oplossingen volstaan simpelweg niet meer. Elke organisatie heeft een gelaagde, proactieve securitystrategie nodig waarbij machine learning en gedragsanalyse worden ingezet om nieuwe en geavanceerde bedreigingen te blokkeren.”

Het volledige Internet Security Report Q1 2021 is hier beschikbaar.