Onderzoek WatchGuard: aantal ransomwarebesmettingen neemt iets af

Het aantal ransomwarebesmettingen is het afgelopen kwartaal iets afgenomen, ondanks grootschalige campagnes. Maar liefst 95% van de malware vindt momenteel zijn weg naar slachtoffers via versleutelde verbindingen. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report (ISR).

Het rapport beschrijft de belangrijkste malwaretrends en netwerk- en endpointsecuritydreigingen die in het tweede kwartaal van 2023 zijn geanalyseerd door onderzoekers van het WatchGuard Threat Lab. Een overzicht van de meest opvallende bevindingen uit het ISR-rapport:

• 95% van de malware verbergt zich achter encryptie. De meeste malware verschuilt zich achter SSL/TLS-encryptie die wordt gebruikt door beveiligde websites. Organisaties die geen inspectie uitvoeren op dit verkeer, missen hoogstwaarschijnlijk de meeste malware. Bovendien daalde het aantal detecties van zero-day malware naar 11% van het totale aantal malwaredetecties. Dit is het laagste niveau ooit. Echter, bij het inspecteren van malware via versleutelde verbindingen, steeg het aandeel van detecties van malware die pogingen doen om detectie te omzeilen tot 66%. Hieruit blijkt wel dat aanvallers nog steeds geavanceerde malware leveren via voornamelijk encryptie.

• Het totale volume van malware op endpoints is licht gedaald, ondanks een toename van grootschalige malwarecampagnes. De detectie van malware op endpoints is in Q2 met 8% gedaald ten opzichte van Q1 van dit jaar. Malware-aanvallen zijn de afgelopen periode gemiddeld wel grootschaliger geweest dan in het eerste kwartaal. Zo steeg het aantal malwaredetecties ontdekt door 10 tot 50 WatchGuard-systemen met 22%. Malwarecampagnes die door 100 of meer WatchGuard-systemen werden gedectecteerd, groeiden met 21%.

• Het aantal aanvallen met dubbele afpersing door ransomwaregroepen is in het afgelopen kwartaal met 72% gestegen. Dat is een soort cyberaanval waarbij cybercriminelen twee losgeldbetalingen eisen: een voor het ontsleutelen van de gegevens, en een andere om de data niet openbaar te maken. De onderzoekers registreerde bovendien 13 nieuwe ransomwarebendes. Deze toename van dubbele afpersing ging echter gepaard met een daling van 21% in het aantal ransomwaredetecties op eindpunten in vergelijking met het vorige kwartaal en een daling van 72% ten opzichte van vorig jaar.

• 6 nieuwkomers in de top-10 meestvoorkomende malware. De onderzoekers zagen een enorme toename in het aantal besmette 3CX-installers. Deze malware was goed voor 48% van het totale detectievolume. Ook de malware Glupteba maakte zijn rentree. Glupteba is een botnet, informatie-ontfutselaar en cryptominer die wereldwijd ogenschijnlijk willekeurig slachtoffers maakt. In 2021 werd deze malwarevariant nog verstoord.

• Windows-tools blijven populair voor het afleveren van malware. Aanvallers maken steeds vaker gebruik van ‘living-off-the-land’-technieken, waarbij met name Windows-tools zoals WMI en PSExec misbruikt worden. Dit type aanvallen steeg met 29% en was verantwoordelijk voor 17% van het totale volume. Malware die gebruikmaakt van PowerShell-scripts daalde juist met 41%. Bij 74% van de aangetroffen malware gebeurt de aflevering via scripts. Het aantal browsergebaseerde exploits daalde met 33% en is nu verantwoordelijk voor 3% van het totale volume.

• Criminele ogen blijven gericht op oude kwetsbaarheden. Drie aanvalsmethoden nieuw in de top-10 van netwerkaanvallen zijn gebaseerd op het misbruik van oude kwetsbaarheden. Een kwetsbaarheid stamde uit 2016 en betrof een oud lek in GitHub dat in 2018 werd opgelost. Een andere maakte misbruik van oude kwetsbaarheden in PHP. Ook misbruik van een kwetsbaarheid in HP OpenView Network Node Manager, een oude HP-tool voor de monitoring van netwerken, maakte zijn opwachting in de top-10.

• WordPress-blogs en diensten die links inkorten misbruikt voor malwarehosting. In de zoektocht naar kwaadaardige domeinen stuitten de onderzoekers op gekaapte WordPress-blogs en gehackte websites waarmee je links kunt inkorten. De websites waren gecompromitteerd voor het hosten van malware of een malware-commando- en controleframework. Bovendien hadden Qakbot-dreigingsactoren een website die gewijd was aan een educatieve wedstrijd in de regio Azië-Pacific gecompromitteerd om commando- en controle-infrastructuur te hosten voor hun botnet.

Permanente monitoring

"Geavanceerde malwareaanvallen en andere cyberdreigingen evolueren continu. Alleen met een gelaagde securitystrategie kunnen organisaties deze steeds veranderende dreigingen het hoofd bieden”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard. "Cybercriminelen hanteren geen uniforme strategie in hun aanvallen. Sommige bedreigingen vertonen op verschillende momenten in het jaar uiteenlopende risiconiveaus. Organisaties moeten bedreigingen daarom permanent monitoren. Bovendien kunnen ze hun beste verdediging realiseren door gebruik te maken van een uniforme beveiligingsaanpak, die efficiënt kan worden beheerd door managed service providers."

De gegevens die in dit kwartaalrapport worden geanalyseerd, zijn gebaseerd op geanonimiseerde, geaggregeerde dreigingsinformatie van actieve WatchGuard netwerk- en endpointproducten. Dit is in overeenstemming met de Unified Security Platform-benadering van WatchGuard. De eigenaren van deze producten hebben gekozen en uitdrukkelijk toestemming verleend om informatie te delen in directe ondersteuning van WatchGuard's onderzoeksinspanningen. 

Vernieuwde onderzoeksmethoden

Het Q2 2023-rapport zet de uitrol voort van de vernieuwde methoden van het Threat Lab-team om de rapportbevindingen te normaliseren, analyseren en presenteren. Die methoden zijn voor het eerst toegepast in het rapport van het vorige kwartaal. De resultaten op het gebied van netwerkbeveiliging worden gepresenteerd als gemiddelden ‘per apparaat’. Deze maand breiden de bijgewerkte methodologieën zich uit tot het onderzoek van het Threat Lab naar netwerkaanvallen en malware op eindpunten.

Het complete Q2 2023 Internet Security Report is hier te downloaden.