Office-documenten steeds vaker ingezet voor verspreiding van malware

malware

Het aantal malwareaanvallen is fors gestegen. Cybercriminelen maken steeds vaker gebruik van Microsoft Office-documenten om kwaadaardige payloads te verspreiden.

Hierdoor waarschuwt WatchGuard Technologies in zijn Internet Security Report over het vierde kwartaal van 2017. De beveiligingsspecialist baseert zich op analyse van data verzameld door Firebox firewalls van het bedrijf bij klanten wereldwijd. In het Internet Security Report geeft WatchGuard elk kwartaal een update over de actuele cyberdreigingen voor het bedrijfsleven. Ook bevat het rapport aanbevelingen om medewerkers, klanten en andere stakeholders te beschermen tegen gegevensdiefstal.

Aanvallen met Microsoft Office-documenten

Dynamic Data Exchange-aanvallen, waarbij hackers kwetsbaarheden in deze Microsoft Office-standaard misbruiken om code uit te voeren, stormden in Q4 de top 10 voor malware binnen. Dit wordt ook wel 'macroloze malware' genoemd. Aanvaller gebruiken hierbij vaak PowerShell en een afgeschermd script om de netwerkbeveiliging te omzeilen. Uit de analyse bleek ook dat Microsoft Office-exploits in Q4 een rol speelden bij twee van de top-10 netwerkaanvallen. Dit onderstreept de groeiende dreiging van aanvallen via documenten.

Het aantal malwareaanvallen is in het vierde kwartaal fors gestegen. Het aantal aanvallen met zero-day malware, waarvan het bestaan op het moment van de aanval nog onbekend is, is zelfs met 167 procent gestegen. De Firebox firewalls van WatchGuard blokkeerden in Q4 meer dan 30 miljoen malwarevarianten, wat 33 procent meer is dan in het voorgaande kwartaal. WatchGuard zag bij zero-day malware zelfs een groei van 167 procent op kwartaalbasis. De stijgingen zijn volgens WatchGuard waarschijnlijk toe te schrijven aan een verhoogde criminele activiteit tijdens de feestdagen.

Anti-virusoplossingen zijn niet effectief

Zero-day malware was in Q4 goed voor 46 procent van alle malware. Dit wijst erop dat cybercriminelen meer gebruikmaken van geavanceerde technieken om onder de radar van traditionele antivirusoplossingen te blijven. WatchGuard meldt dat zero-day malware door de Firebox-appliances wel wordt gedetecteerd, aangezien de firewalls gebruik maken van zowel legacy signature-based detectietechnieken als proactieve gedragsdetectie via de oplossing APT Blocker. Als de legacy detectietechnieken malware niet herkent, wordt de malware wel geblokkeerd door APT Blocker.

Bij 48 procent van de meest voorkomende malware gaat het om scriptaanvallen. Een meerderheid van de in Q4 gedetecteerde malware werd geblokkeerd op basis van handtekeningen van JavaScript- en Visual Basic Script-dreigingen, zoals downloaders en droppers. De aanhoudende populariteit van deze scriptgebaseerde aanvallen betekent dat gebruikers op hun hoede moeten zijn voor kwaadaardige scripts in webpagina's en e-mailbijlagen.

Proactieve security

"Cybercriminelen gaan steeds verfijnder en creatiever te werk om waardevolle data te stelen", zegt Corey Nachreiner, chief technology officer bij WatchGuard Technologies. "Hun tactieken veranderen mogelijk op den duur, maar deze bredere trend zet door. Voor kleine en middelgrote organisaties met beperkte IT- en securitymiddelen zijn de risico's groter dan ooit. Wij willen alle bedrijven, ongeacht grootte, helpen om deze dreigingen proactief aan te pakken met gelaagde beveiligingsdiensten, geavanceerde bescherming tegen malware en securitytrainingen voor werknemers."

WatchGuard heeft een gratis datavisualisatietool ontwikkeld die bedrijven realtime inzicht geeft in de voornaamste malware- en netwerkaanvallen wereldwijd. Op de Threat Landscape-pagina kunnen gebruikers Firebox Feed-data doorzoeken op type aanval, regio/land en datum. De interactieve graphics zijn eenvoudig uit te lezen en worden na een wijziging direct aangepast.

Het Internet Security Report belicht daarnaast een nieuw onderzoeksproject van het WatchGuard Threat Lab. De onderzoekers analyseren een database met ruim 1 miljard gestolen wachtwoorden om aan te tonen hoe vaak gebruikers zwakke wachtwoorden kiezen en dezelfde inloggegevens gebruiken voor meerdere accounts.

Lees ook
Succesvolle cyberincidenten vaak veroorzaakt door misbruik  monitoring- en beheersoftware

Succesvolle cyberincidenten vaak veroorzaakt door misbruik monitoring- en beheersoftware

Bijna een derde (30%) van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werden onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor kunnen aanvallers langer onopgemerkt blijven. Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur...

Netskope rapporteert stijging van 161 procent in bezoeken aan risicovolle apps en websites tijdens piek in thuiswerken

Netskope rapporteert stijging van 161 procent in bezoeken aan risicovolle apps en websites tijdens piek in thuiswerken

Netskope Cloud and Threat Report laat grote verschuiving in gebruikersgedrag zien nu gebruik van persoonlijke devices de norm is geworden

De impact van COVD-19 op datalekken

De impact van COVD-19 op datalekken

Cybercriminelen hebben in de verwarring die is ontstaan door de COVID-19-pandemie elke kans op financieel gewin aangegrepen. Uit een drie maanden durend onderzoek van Verizon blijkt dat beproefde methoden om gegevens te bemachtigen succesvoller waren dan voorheen. Zo waren phishing-campagnes...