WatchGuard: toename in versleutelde malware en Office-exploits

Hoewel het aantal malwareaanvallen in het tweede kwartaal afnam in vergelijking met voorgaande kwartalen, nam het aandeel malware dat via versleutelde verbindingen binnendringt juist fors toe. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook het aantal Office-exploits kende een stijging.

Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q2 2022:

• Office-exploits snelstgroeiende malwarecategorie

Exploits voor Microsoft Office maken een flinke opmars. Het belangrijkste incident van het kwartaal was de Follina Office-exploit (CVE-2022-30190). Die werd voor het eerst gemeld in april en pas eind mei gepatcht. Follina werd geleverd via een kwaadaardig document en kon Windows Protected View en Windows Defender omzeilen. Ook natiestaten maakten misbruik hiervan. Drie andere Office-exploits (CVE-2018-0802, RTF-ObfsObjDat.Gen en CVE-2017-11882) werden op grote schaal gedetecteerd in Duitsland en Griekenland.

• Aantal malwarebesmettingen daalt, maar groei van browser-exploits

Het aantal malwarebesmettingen op endpoints slonk met 20%. Wel steeg het totale aantal browser-exploits met 23%. Chrome-exploits kende met een groei van 50% de sterkste stijging. Een mogelijke reden voor deze toename is de persistentie van verschillende zero-day-exploits. Scripts bleven verantwoordelijk voor het leeuwendeel van de besmettingen (87%) in het tweede kwartaal.

• ICS- en SCADA-systemen vaker doelwit

Het aantal aanvallen op ICS- en SCADA-systemen nam toe. Ook zagen de onderzoekers een aantal nieuwe dreigingen (WEB Directory Traversal -7 en WEB Directory Traversal -8). De twee handtekeningen lijken erg op elkaar. De eerste maakt gebruik van een kwetsbaarheid die in 2012 voor het eerst werd ontdekt in een specifieke SCADA-interfacesoftware. De tweede werd het meest gesignaleerd in Duitsland.

• Emotet blijft gevaar voor netwerken

Hoewel het volume sinds het afgelopen kwartaal is gedaald, blijft het Emotet-botnet een van de grootste bedreigingen voor netwerkbeveiliging. XLM.Trojan.abracadabra – een versleutelde Win Code-injector die het Emotet-botnet verspreidt – werd veel gezien in Japan.

Ongrijpbaar

"Hoewel het aantal malware-aanvallen in het tweede kwartaal afnam ten opzichte van de recordhoogten in voorgaande kwartalen, kwam meer dan 81% van de detecties via TLS-gecodeerde verbindingen. Daarmee is een zorgwekkende opwaartse trend voortgezet", zegt Corey Nachreiner, Chief Security Officer bij WatchGuard. "Dit kan een weerspiegeling zijn van actoren die hun tactiek verleggen naar meer ongrijpbare malware."

Onderzoeksmethode

Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances overal ter wereld. U kunt het volledige rapport hier inzien en downloaden.