Maar liefst 95% van de malware vindt momenteel zijn weg naar slachtoffers via versleutelde verbindingen. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report.
De meeste malware verschuilt zich achter SSL/TLS-encryptie die wordt gebruikt door beveiligde websites. Organisaties die geen inspectie uitvoeren op dit verkeer, missen hoogstwaarschijnlijk de meeste malware, schrijft het bedrijf. Bovendien daalde het aantal detecties van zero-day malware naar 11% van het totale aantal malwaredetecties. “Dit is het laagste niveau ooit. Echter, bij het inspecteren van malware via versleutelde verbindingen, steeg het aandeel van detecties van malware die pogingen doen om detectie te omzeilen tot 66%. Hieruit blijkt wel dat aanvallers nog steeds geavanceerde malware leveren via voornamelijk encryptie.”
Daling besmettingen
De detectie van malware op endpoints is in Q2 met 8% gedaald ten opzichte van Q1 van dit jaar. Malware-aanvallen waren de afgelopen periode gemiddeld wel grootschaliger dan in het eerste kwartaal. Zo steeg het aantal malwaredetecties ontdekt door 10 tot 50 WatchGuard-systemen met 22%. Malwarecampagnes die door 100 of meer WatchGuard-systemen werden gedectecteerd, groeiden met 21%.
Het aantal aanvallen met dubbele afpersing door ransomwaregroepen is in het afgelopen kwartaal met 72% gestegen. De onderzoekers registreerden 13 nieuwe ransomwarebendes. Deze toename van dubbele afpersing ging gepaard met een daling van 21% in het aantal ransomwaredetecties op eindpunten in vergelijking met het vorige kwartaal en een daling van 72% ten opzichte van vorig jaar.
Windows-tools populair
Aanvallers maken steeds vaker gebruik van ‘living-off-the-land’-technieken, waarbij met name Windows-tools zoals WMI en PSExec misbruikt worden. Dit type aanvallen steeg met 29% en was verantwoordelijk voor 17% van het totale volume. Malware die gebruik maakt van PowerShell-scripts daalde juist met 41%. Bij 74% van de aangetroffen malware gebeurt de aflevering via scripts. Het aantal browsergebaseerde exploits daalde met 33% en is nu verantwoordelijk voor 3% van het totale volume.
Drie aanvalsmethoden nieuw in de top-10 van netwerkaanvallen zijn gebaseerd op het misbruik van oude kwetsbaarheden. Een kwetsbaarheid stamde uit 2016 en betrof een oud lek in GitHub dat in 2018 werd opgelost. Een andere maakte misbruik van oude kwetsbaarheden in PHP. Ook misbruik van een kwetsbaarheid in HP OpenView Network Node Manager, een oude HP-tool voor de monitoring van netwerken, maakte zijn opwachting in de top-10.
WordPress-blogs
In de zoektocht naar kwaadaardige domeinen stuitten de onderzoekers op gekaapte WordPress-blogs en gehackte websites waarmee je links kunt inkorten. De websites waren gecompromitteerd voor het hosten van malware of een malware-commando- en controleframework. Bovendien hadden Qakbot-dreigingsactoren een website die gewijd was aan een educatieve wedstrijd in de regio Azië-Pacific gecompromitteerd om commando- en controle-infrastructuur te hosten voor hun botnet.
