Cybercriminelen richten zich steeds meer op inloggegevens

hacker-1952027_960_720

Cybercriminelen zetten alles op alles om de inloggegevens van systemen en gebruikers te stelen. Daarnaast blijkt dat maar liefst 47 procent van alle malware die hierbij wordt ingezet nieuw ofwel 'zero day' is. Traditionele antivirus-oplossingen die gebaseerd zijn op het herkennen van 'virus signatures' zijn hierdoor niet in staat deze aanvallen tegen te houden.

Dit blijkt uit het Q2 2017 Internet Security Report van WatchGuard Technologies. WatchGuard meldt dat Mimikatz verantwoordelijk is voor 36 procent van alle malware-aanvallen. Deze populaire open source-tool voor het stelen van inloggegevens stond het afgelopen kwartaal voor het eerst in de top 10-lijst van belangrijkste malware-varianten. Mimikatz wordt vaak gebruikt voor het stelen van inloggegevens van Windows-systemen en werd dit kwartaal zo vaak gebruikt dat het uitgroeide tot de belangrijkste malware-variant van het tweede kwartaal.

Phishing met behulp van JavaScript

Phishing-aanvallen maken steeds vaker gebruik van JavaScript om gebruikers om de tuin te leiden. Al een aantal kwartalen maken aanvallers gebruik van JavaScript-code en downloadfuncties voor malware-aanvallen via zowel websites als e-mail. Zo pasten aanvallers in het tweede kwartaal JavaScript in HTML-bijlages toe bij phishing-aanvallen. Hiermee konden zij inlogpagina's simuleren van populaire en legitieme websites als Google, Microsoft en andere aanbieders in een poging om gebruikers te verleiden tot het invullen van hun inloggegevens.

Cybercriminelen hebben in het tweede kwartaal gebruikgemaakt van een oude kwetsbaarheid om Linux-servers in Nederland en enkele landen in Scandinavië aan te vallen. De aanpak was bedoeld om de hash files van wachtwoorden te pakken te krijgen. Meer dan 75 procent van deze aanvallen deed een poging om via deze kwetsbaarheid toegang te krijgen tot 'etc/passwd'. Het advies van WatchGuard aan Linux-gebruikers in deze regio is dan ook om zo snel mogelijk hun Linux-servers te updaten.

Meer brute force-aanvallen op webservers

Stevige groei van aantal brute force-aanvallen op webservers. Gedurende de zomer pasten cybercriminelen geautomatiseerde tools toe om de inloggegevens van webservers te kraken. Deze brute force-aanvallen kwamen in het tweede kwartaal hierdoor in de top 10 van belangrijkste aanvallen terecht. Webservers die niet op een adequate manier zijn beschermd staan toe dat bij geautomatiseerde aanvallen duizenden wachtwoorden per seconde worden geprobeerd, net zo lang tot de criminelen de juiste inloggegevens vinden.

Bijna de helft van de aanvallen weet antivirus te omzeilen. Dit komt vooral door de inzet van zero day-kwetsbaarheden bij cyberaanvallen, die nog niet bekend zijn en hierdoor nog niet door de softwareleverancier met een update of patch zijn gedicht. De gegevens die WatchGuard in het tweede kwartaal heeft verzameld, laten zien dat klassieke en op 'signatures' gebaseerde antivirus-oplossingen steeds onbetrouwbaarder worden als het gaat om het tegenhouden van nieuwe aanvalsmethoden. 'Behavioral detection' wordt dan ook steeds belangrijker voor organisaties.

16 miljoen malware-varianten tegengehouden

Het Q2 2017 Internet Security Report is gebaseerd op geanonimiseerde data die is verkregen van de Firebox-firewalls van WatchGuard. Er is hierbij wereldwijd gebruikgemaakt van 33.500 UTM-appliances. In totaal hebben deze appliances in het tweede kwartaal meer dan 16 miljoen malware-varianten tegengehouden. Gemiddeld hield iedere appliance 488 aanvallen tegen.

Gedurende het kwartaal stopten WatchGuard's Gateway AV-oplossingen bijna 11 miljoen malware-varianten, een groei van 31 procent ten opzichte van het eerste kwartaal. De APT Blockers van WatchGuard hielden bovendien nog eens 5.484.320 malware-varianten tegen, een toename van maar liefst 53 procent ten opzichte van Q1 van dit jaar. WatchGuard Firebox-systemen hielden op hun beurt bijna 3 miljoen netwerkaanvallen tegen, gemiddeld 86 aanvallen per device.

Volledige bescherming bedrijfsgegevens

"De data die wij gedurende het tweede kwartaal kregen van onze Firebox firewalls laten zien dat aanvallers zich meer dan ooit richten op het verzamelen van inloggegevens", zegt Corey Nachreiner, Chief Technology Officer van WatchGuard Technologies. "Of we het nu hebben over JavaScript-enabled phishing aanvallen, pogingen om Linux-wachtwoorden te stelen of 'brute force'-aanvallen op webservers, de rode draad door al deze attacks is dat criminelen op zoek zijn naar inloggegevens. Voor bedrijven betekent dit dat zij extra maatregelen moeten nemen. Denk aan het versterken van de inlogprocedures van hun aan Internet gekoppelde servers, het invoeren van two-factor authentication en het nog meer trainen van gebruikers in het herkennen van phishing-pogingen. Ook zouden gebruikers serieus moeten overwegen om geavanceerde threat prevention-oplossingen in te voeren. Alleen dan kunnen zij hun waardevolle bedrijfsgegevens afdoende beschermen."

Meer informatie over de belangrijkste malware-aanvallen en aanvalstrends gedurende het tweede kwartaal van 2017 is beschikbaar in het kwartaalrapport van WatchGuard Technologies. Dit rapport bevat ook een uitgebreide analyse opgenomen van de bekende Wannacry ransomware-aanval en gaat dieper in op het meest recente researchproject van WatchGuard's Threat Lab naar SSH en Telnet honeypots. Deze blijken continu met de hulp van geautomatiseerde tools te worden aangevallen. De resultaten van dit onderzoeksproject benadrukken opnieuw het grote gevaar dat ontstaat als gebruikers de default-inloggegevens van hun apparaten en systemen niet wijzigen. Dit is een veelvoorkomend probleem bij onder meer Internet of Things (IoT) toepassingen.

Lees ook
TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.

Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden

Dreigingsactor 'BattleRoyal' gebruikt DarkGate-malware voor cybercriminele doeleinden

Onderzoekers van cybersecuritybedrijf Proofpoint publiceren vandaag onderzoek over de activiteiten van dreigingsactor 'Battle Royal'. Deze actor gebruikt DarkGate- en NetSupport-malware om controle te krijgen over geïnfecteerde hosts via meerdere verschillende aanvalsketens en social engineering technieken.

Proofpoint: TA402  duikt op in phishing campagnes

Proofpoint: TA402 duikt op in phishing campagnes

Cybersecuritybedrijf, Proofpoint, publiceert onderzoek over nieuwe activiteiten van TA402, een Advanced Persistent Threat (APT-) groep uit het Midden-Oosten.