Fors meer malware niet te blokkeren op handtekening

Het gebruik van ontwijkende of ‘evasive’ malware is in het laatste kwartaal van 2019 naar een recordniveau gestegen. Ruim twee derde van de door WatchGuard Technologies gedetecteerde malware werd niet geblokkeerd door antivirusoplossingen die op de handtekening van de malware scannen. Dat is bijna een verdubbeling ten opzichte van het gemiddelde over heel 2019.

WatchGuard waarschuwt organisaties voor deze opvallende stijging in het Internet Security Report over Q4 2019. Dit rapport geeft bedrijven, dienstverleners en eindgebruikers inzicht in het huidige dreigingslandschap. Het Internet Security Report bevat relevante data, trends, onderzoeksuitkomsten en adviezen omtrent beveiliging.

Meer ontwijkende malware

Ontwijkende malware was in Q4 goed voor 68 procent van alle malware. Het gemiddelde over heel 2019 was 35 procent. De UTM-appliances van WatchGuard houden malware op verschillende manieren tegen: op basis van handtekeningen, met de machine learning-detectie-engine IntelligentAV en met de op gedragsanalyse gebaseerde oplossing APT Blocker. Malware wordt als ontwijkend beschouwd als deze niet op basis van handtekeningen is te detecteren.

Een exploit van een kwetsbaarheid in Excel uit 2017 staat op de zevende plaats in de malware-top 10 van WatchGuard, en werd op grote schaal ingezet in Groot-Brittannië, Duitsland en Nieuw-Zeeland. Deze malwaredropper komt binnen via een phishingaanval en maakt gebruik van macro’s om andere typen malware te downloaden en installeren, waaronder keyloggers zoals Agent Tesla en trojans zoals Razy.

Keylogger Agent Tesla

Het rapport bevat een uitgebreide analyse van de keylogger Agent Tesla. Deze malware werd in februari van 2020 gebruikt bij phishingaanvallen waarmee cybercriminelen inspeelden op de angst over het coronavirus.

Op een van de prominente besmette websites die WatchGuard in het laatste kwartaal van 2019 detecteerde, wordt macOS-adware gehost. Het gaat om malware genaamd Bundlore die zich voordoet als een update voor Adobe Flash. Dit is in lijn met een rapport van MalwareBytes uit februari 2020 waarin een forse groei in Mac-malware werd gesignaleerd, met name adware.

SQL-injecties met 8000% gestegen

SQL-injectie was de dominante netwerkaanval in 2019. Het aantal SQL-injectie-aanvallen nam vergeleken met een jaar eerder toe met maar liefst 8000 procent toe. Dit was vorig jaar met afstand de meest voorkomende netwerkaanval.

Hackers maken vaker gebruik van geautomatiseerde malwaredistributie. Veel aanvallen treffen 70 tot 80 procent van alle Fireboxes in een bepaald land. Dit wijst erop dat cybercriminelen hun aanvallen steeds vaker automatiseren.

Analyse: Magecart

Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard UTM-appliances overal ter wereld. Deze editie bevat verder onder meer een gedetailleerde analyse van de JavaScript-malware Magecart die in oktober 2019 werd gebruikt voor de diefstal van betaal- en klantgegevens bij de Amerikaanse warenhuisketen Macy’s.

“De cijfers over Q4 tonen aan dat cybercriminelen hun aanvalsmethoden continu verfijnen” zegt Corey Nachreiner, chief technology officer van WatchGuard. “Nu twee derde van de waargenomen malware in staat is om op handtekeningen gebaseerde beveiliging te omzeilen, en innovaties zoals Mac-adware aan terrein winnen, is de noodzaak om te investeren in een gelaagde security groter dan ooit. Met name cruciaal zijn antimalware op basis van geavanceerde kunstmatige intelligentie of gedragsanalyse en een robuuste verdediging tegen phishing via bijvoorbeeld DNS-filtering.”

Het Internet Security Report over Q4 2019 van WatchGuard is hier te vinden.