Mac-malware en webapplicatie-exploits winnen aan populariteit

De dreiging van malware groeit, zo blijkt uit de nieuwste editie van het Internet Security Report van WatchGuard Technologies. De securityspecialist detecteerde in het eerste kwartaal van 2019 maar liefst 62 procent meer malware dan in het kwartaal daarvoor. Cybercriminelen maken gebruik van een breed scala aan aanvalstechnieken, waaronder schadelijke Office-documenten, Mac-malware en webapplicatie-exploits.

Het Internet Security Report geeft organisaties inzicht in het huidige dreigingslandschap. WatchGuard reikt hiermee threat intelligence, onderzoeks­uitkomsten en best practices aan die bescherming bieden tegen cybercrimi­naliteit. Dit zijn de belangrijkste conclusies in het rapport over Q1 2019:

Malware voor Mac OS in opkomst

Mac-malware dook in het derde kwartaal van 2018 voor het eerst op in de malware-top 10 van WatchGuard. Nu staan er zelfs twee malwarevarianten voor Mac OS in de lijst. De groei in Mac-gebaseerde malware ontkracht de misvatting dat Macs immuun zijn voor malware - en onderstreept het belang van geavanceerde beveiliging op alle apparaten en systemen.

Webapplicatie-exploits maken opmars

Hoewel het aantal netwerkaanvallen is gedaald, zag WatchGuard een forse toename in web-applicatie-exploits. De intrusion prevention system (IPS)-dienst van het bedrijf hield vele aanvallen tegen waarbij gebruik werd gemaakt van cross-site scripting (XSS)- en SQL-injection (SQLi)-kwetsbaarheden.
Dit zijn beide populaire methoden voor diefstal van inloggegevens. Twee SQLi-aanvallen haalden de top 10 met netwerk­aanvallen. Ook was een web-XSS-aanval goed voor meer dan tien procent van de netwerkaanvallen in deze top 10.

Schadelijke Office-documenten blijven populair

Meer dan 17 procent van de Fireboxes detecteerde in Q1 van 2019 gevaarlijke Office-documenten. Twee dreigingen in deze categorie staan in de lijst met meest voorkomende malware, en één in de top 10 malware-aanvallen met het grootste volume. Ruim de helft van deze schadelijke documenten werd geblokkeerd in de EMEA-regio, voornamelijk in Oost-Europese landen. Gebruikers kunnen beter niets doen met ongevraagde Office-documenten en moeten elke bijlage die macro’s probeert te activeren als een bedreiging zien.

DNS-filtering blokkeert meer dan vijf miljoen schadelijke websites

De DNSWatch-dienst van WatchGuard voorkwam 5.192.883 pogingen om gevaarlijke websites te bezoeken. Het ging ruim een half miljoen keer om domeinen waarop malware gehost wordt, 187.101 keer om gehackte domeinen en 61.096 keer om bekende phishingsites. Gehackte websites zijn soms moeilijk te identificeren en blokkeren. DNS-filtering is dus cruciaal om te voorkomen dat gebruikers ongemerkt slachtoffer worden van malwarebesmettingen, diefstal van inloggegevens of botnet-command-and-controlsystemen.

Fileless malware eist zijn plaats op

Fileless dreigingen veroverden een plek in zowel de malware-top 10 als de top 10 met netwerkaanvallen van WatchGuard. Een PowerShell-gebaseerde code-injectieaanval staat in Q1 voor het eerst in de malware-top 10, terwijl de populaire fileless backdoortool Meterpreter zijn debuut maakte in de top 10 met netwerkaanvallen. Duidelijk is dat cybercriminelen zich steeds meer focussen op deze ‘ontwijkende’ dreigingscategorie.

Mimikatz-malware groeit met 73 procent en blijft nummer 1 dreiging

6,4 procent van alle gedetecteerde malware in Q1 maakt gebruik van Mimikatz. Deze populaire opensource­tool wordt vaak ingezet voor het stelen van wachtwoorden en speelt bij veel netwerkinfiltraties een sleutelrol. Mimikatz is een vaste waarde in de malware top-10 van WatchGuard. Dat toont wel aan hoe belangrijk het gebruik van unieke, lange en complexe wachtwoorden is. Elke organisatie zou moeten overwegen om oplossingen voor multifactorauthenticatie te implementeren, zodat kwaadwillenden geen toegang krijgen tot legitieme gebruikersaccounts. “Deze conclusies illustreren het belang van gelaagde securityvoorzieningen in het huidige dreigingslandschap”, zegt Corey Nachreiner, chief technology officer bij WatchGuard Technologies. “Cybercriminelen passen allerlei geavanceerde aanvalsmethoden toe. De beste manier voor organisaties om zich hiertegen te wapenen, is een overkoepelend securityplatform met een compleet pakket aan securitydiensten: van DNS-filtering en intrusion prevention systems tot multifactorauthenticatie.”

51% attack

Het volledige rapport beschrijft de securitytrends met de grootste impact in het eerste kwartaal van 2019. Ook bevat het een gedetailleerde analyse van de beroemde ‘51% attack’ op de crypto­currency Ethereum Classic (ETC) en securityadviezen waarmee lezers zichzelf en hun organisatie beter kunnen beschermen.

Gebaseerd op Firebox-data

De uitkomsten zijn gebaseerd op geanonimiseerde Firebox Feed-data van actieve WatchGuard UTM-appliances. De eigenaren van deze apparaten hebben ervoor gekozen data voor onderzoeksdoeleinden te delen met het Threat Lab. Ruim 42.000 appliances wereldwijd dragen op deze manier bij aan het Internet Security Report. Deze blokkeerden bij elkaar meer dan 23 miljoen malwarevarianten. Ook hielden de Firebox-appliances bijna 1 miljoen netwerkaanvallen tegen.