WatchGuard: gevaarlijkste dreiging komt exclusief via versleutelde verbindingen

Watchguard-280210

De gevaarlijkste dreiging van Q3 in 2022 werd uitsluitend via versleutelde verbindingen gedetecteerd. Daarnaast zijn adversary-in-the-middle-aanvallen (ook bekend als man-in-the-middle-aanvallen) steeds meer gemeengoed. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook de aanvallen op industriële controlesystemen (ICS) nemen toe.

Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q3 2023:
 
  • Overgrote meerderheid van de malware komt via versleutelde verbindingen
Hoewel de malware Agent.IIQ Q3 2022 op de derde plaats stond in de normale top-10 van malware, staat het bovenaan de lijst van versleutelde malware. Alle Agent.IIQ-detecties zijn afkomstig van versleutelde verbindingen. Dat is onderdeel van een bredere trend: 82% van alle gedetecteerde malware was afkomstig van een versleutelde verbinding.
 
  • ICS- en SCADA-systemen blijven populaire aanvalsdoelen
Nieuw in de top 10 lijst van netwerkaanvallen dit kwartaal is een aanval van het type SQL-injectie die verschillende leveranciers trof. Een van deze bedrijven is Advantech, wiens WebAccess-portaal wordt gebruikt voor SCADA-systemen in diverse kritieke infrastructuren. Een andere ernstige exploit in het derde kwartaal betrof de U.motion Builder-software van Schneider Electric, versie 1.2.1 en ouder.
 
  • Kwetsbaarheden in Exchange-server blijven een risico vormen
De meest recente CVE onder de nieuwe handtekeningen van het Threat Lab dit kwartaal, CVE-2021-26855, is een Microsoft Exchange Server Remote Code Execution (RCE)-kwetsbaarheid voor on-premises servers. Deze RCE-kwetsbaarheid kreeg een CVE-score van 9,8 en het is bekend dat er misbruik van is gemaakt. Het merendeel van de servers is inmiddels gepatcht, maar niet allemaal.
 
  • Aanvallers richten pijlen op gratis software
De seedloader Fugrafa downloadt malware die kwaadaardige code injecteert. Dit kwartaal onderzocht het Threat Lab een monster ervan dat werd aangetroffen in een cheat-engine voor het populaire spel Minecraft. Het Threat Lab ontdekte dat dit specifieke voorbeeld connecties heeft met Racoon Stealer, een cryptocurrency-hackingcampagne die gebruikt wordt om accountinformatie van cryptocurrency-uitwisselingsdiensten te kapen.
 
  • Aanvallers kijken verder dan cryptominingsites
Nog steeds zijn nietsvermoedende gebruikers vaak het slachtoffer van malware. Met drie nieuwe toevoegingen aan de lijst van topmalwaredomeinen waren er in Q3 meer malware en nieuwe malwaredomeinen dan gewoonlijk. Steeds vaker zullen aanvallers daarbij naar nieuwe categorieën websites zoeken, nu cryptocurrency in roerig vaarwater is gekomen.
 
  • JavaScript-versluiering in exploitkits
JavaScript is een veelvoorkomende vector voor het aanvallen van gebruikers. Cybercriminelen gebruiken voortdurend exploitkits op basis van JavaScript. Naarmate de verdedigingswerken van browsers zijn verbeterd, is ook het vermogen van aanvallers om schadelijke JavaScript-code te versluieren toegenomen.
 
  • Anatomie van gestandaardiseerde adversary-in-the-middle aanvallen
Adversary-in-the-middle (AitM)-aanvallen zijn snel in opkomst. Het onderzoek van het Threat Lab naar EvilProxy, het belangrijkste beveiligingsincident van het derde kwartaal, laat zien hoe kwaadwillenden beginnen over te schakelen op geavanceerdere AitM-technieken. De release van een AitM-toolkit genaamd EvilProxy heeft de drempel voor toegang tot wat voorheen een geavanceerde aanvalstechniek was, aanzienlijk verlaagd.
 
Belang van HTTPS-inspectie
"We kunnen niet genoeg benadrukken hoe belangrijk het is dat organisaties HTTPS-inspectie toepassen. De meerderheid van de malware komt binnen via versleutelde HTTPS, en als je die niet inspecteert, mis je die bedreigingen", aldus Corey Nachreiner, chief security officer bij WatchGuard Technologies. "Terecht verdienen ook de belangrijke doelwitten zoals een Exchange-server of een SCADA-beheersysteem buitengewone aandacht. Het is belangrijk patches direct uit te rollen, want aanvallers zullen uiteindelijk profiteren van elke organisatie die de nieuwste patch nog moet implementeren."
 
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. Download het volledige rapport hier.
Lees ook
Dynatrace rapport: observability moet gecombineerd worden met security

Dynatrace rapport: observability moet gecombineerd worden met security

Europese CISO’s vinden het steeds moeilijker om hun software veilig te houden, naarmate hun hybride en multicloud-omgevingen complexer worden en teams blijven vertrouwen op handmatige processen. Daardoor wordt de kans vergroot dat kwetsbaarheden in productieomgevingen binnensluipen. Dit is een van de belangrijkste bevindingen in een nieuw onderzoe1

Interactie EDR en NDR essentieel voor integrale IT-beveiliging

Interactie EDR en NDR essentieel voor integrale IT-beveiliging

Organisaties die zich tegen complexe cyberaanvallen willen beschermen hebben goed gefundeerde en gelaagde IT-beveiliging nodig. Dit vraagt om overzicht op, en informatie over het dataverkeer en alle endpoints. De combinatie van network detection & response (NDR) en endpoint detection & response (EDR) biedt organisaties door middel van geco1

LANCOM Systems: NIS2-richtlijn is hét bewijs dat EU cybersecurity als topprioriteit ziet

LANCOM Systems: NIS2-richtlijn is hét bewijs dat EU cybersecurity als topprioriteit ziet

Of het nu gaat om vervoer, energie, gezondheid of financiën - veel aspecten van ons dagelijks leven zijn steeds afhankelijker van digitale technologieën. Digitale infrastructuur en dataverkeer zijn tegenwoordig essentieel voor veel overheidsdiensten en houden de samenleving en economie draaiende.