WatchGuard: gevaarlijkste dreiging komt exclusief via versleutelde verbindingen

  1. 3 jan 2023
  2. 0 reacties

Watchguard-280210

De gevaarlijkste dreiging van Q3 in 2022 werd uitsluitend via versleutelde verbindingen gedetecteerd. Daarnaast zijn adversary-in-the-middle-aanvallen (ook bekend als man-in-the-middle-aanvallen) steeds meer gemeengoed. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook de aanvallen op industriële controlesystemen (ICS) nemen toe.

Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q3 2023:
 
  • Overgrote meerderheid van de malware komt via versleutelde verbindingen
Hoewel de malware Agent.IIQ Q3 2022 op de derde plaats stond in de normale top-10 van malware, staat het bovenaan de lijst van versleutelde malware. Alle Agent.IIQ-detecties zijn afkomstig van versleutelde verbindingen. Dat is onderdeel van een bredere trend: 82% van alle gedetecteerde malware was afkomstig van een versleutelde verbinding.
 
  • ICS- en SCADA-systemen blijven populaire aanvalsdoelen
Nieuw in de top 10 lijst van netwerkaanvallen dit kwartaal is een aanval van het type SQL-injectie die verschillende leveranciers trof. Een van deze bedrijven is Advantech, wiens WebAccess-portaal wordt gebruikt voor SCADA-systemen in diverse kritieke infrastructuren. Een andere ernstige exploit in het derde kwartaal betrof de U.motion Builder-software van Schneider Electric, versie 1.2.1 en ouder.
 
  • Kwetsbaarheden in Exchange-server blijven een risico vormen
De meest recente CVE onder de nieuwe handtekeningen van het Threat Lab dit kwartaal, CVE-2021-26855, is een Microsoft Exchange Server Remote Code Execution (RCE)-kwetsbaarheid voor on-premises servers. Deze RCE-kwetsbaarheid kreeg een CVE-score van 9,8 en het is bekend dat er misbruik van is gemaakt. Het merendeel van de servers is inmiddels gepatcht, maar niet allemaal.
 
  • Aanvallers richten pijlen op gratis software
De seedloader Fugrafa downloadt malware die kwaadaardige code injecteert. Dit kwartaal onderzocht het Threat Lab een monster ervan dat werd aangetroffen in een cheat-engine voor het populaire spel Minecraft. Het Threat Lab ontdekte dat dit specifieke voorbeeld connecties heeft met Racoon Stealer, een cryptocurrency-hackingcampagne die gebruikt wordt om accountinformatie van cryptocurrency-uitwisselingsdiensten te kapen.
 
  • Aanvallers kijken verder dan cryptominingsites
Nog steeds zijn nietsvermoedende gebruikers vaak het slachtoffer van malware. Met drie nieuwe toevoegingen aan de lijst van topmalwaredomeinen waren er in Q3 meer malware en nieuwe malwaredomeinen dan gewoonlijk. Steeds vaker zullen aanvallers daarbij naar nieuwe categorieën websites zoeken, nu cryptocurrency in roerig vaarwater is gekomen.
 
  • JavaScript-versluiering in exploitkits
JavaScript is een veelvoorkomende vector voor het aanvallen van gebruikers. Cybercriminelen gebruiken voortdurend exploitkits op basis van JavaScript. Naarmate de verdedigingswerken van browsers zijn verbeterd, is ook het vermogen van aanvallers om schadelijke JavaScript-code te versluieren toegenomen.
 
  • Anatomie van gestandaardiseerde adversary-in-the-middle aanvallen
Adversary-in-the-middle (AitM)-aanvallen zijn snel in opkomst. Het onderzoek van het Threat Lab naar EvilProxy, het belangrijkste beveiligingsincident van het derde kwartaal, laat zien hoe kwaadwillenden beginnen over te schakelen op geavanceerdere AitM-technieken. De release van een AitM-toolkit genaamd EvilProxy heeft de drempel voor toegang tot wat voorheen een geavanceerde aanvalstechniek was, aanzienlijk verlaagd.
 
Belang van HTTPS-inspectie
"We kunnen niet genoeg benadrukken hoe belangrijk het is dat organisaties HTTPS-inspectie toepassen. De meerderheid van de malware komt binnen via versleutelde HTTPS, en als je die niet inspecteert, mis je die bedreigingen", aldus Corey Nachreiner, chief security officer bij WatchGuard Technologies. "Terecht verdienen ook de belangrijke doelwitten zoals een Exchange-server of een SCADA-beheersysteem buitengewone aandacht. Het is belangrijk patches direct uit te rollen, want aanvallers zullen uiteindelijk profiteren van elke organisatie die de nieuwste patch nog moet implementeren."
 
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. Download het volledige rapport hier.
Lees ook
Driekwart van de Nederlandse bedrijven ziet directie als de belangrijkste voorvechter van beveiliging

Driekwart van de Nederlandse bedrijven ziet directie als de belangrijkste voorvechter van beveiliging

Nieuw onderzoek van Rackspace Technology laat zien wat de impact van de wereldwijde bedreigingen voor de IT-omgeving in de afgelopen vijf jaar is geweest op de relatie tussen IT-beveiligingsteams en directies van organisaties.

DCC Nederland presenteert innovatieve PAM-oplossing van Senhasegura op Cyber Security & Cloud Expo 2022

DCC Nederland, een Value Added Distributeur met oplossingen voor netwerkbeheer en -beveiliging, presenteert tijdens de Cyber Security & Cloud Expo, die plaatsvindt op 20 en 21 september in de RAI te Amsterdam, de innovatieve Privileged Access Management (PAM)-oplossing van Senhasegura. CIO’s, CISO’s en IT-beheerders leren tijdens een informatieve sessie hoe zij hun organisaties kunnen beschermen tegen gegevensdiefstal, onder meer door de handelingen van beheerders te volgen voor netwerken, servers, databases en apparaten.

Waarom verlopen certificaten een groter securityrisico worden?

Waarom verlopen certificaten een groter securityrisico worden?

Spotify-gebruikers hebben dit voorjaar een securityissue ervaren dat ook voor bedrijven een groter risico begint te worden. Ze konden urenlang niet meer naar hun podcasts luisteren omdat een TLS-certificaat van de streamingaanbieder was verlopen. Deze certificaten, 'machine-identiteiten', vormen de basis voor het vertrouwen in de online wereld en1