Onderzoek: Twee derde van malware afgeleverd via https-verbindingen

Corey Nachreiner

26-06-2020 | door: Wouter Hoeffnagel

Onderzoek: Twee derde van malware afgeleverd via https-verbindingen

Twee derde van de malware wordt afgeleverd via versleutelde https-verbindingen. In 72 procent van de gevallen gaat het bovendien om zeroday-malware die nog geen antivirushandtekening heeft. Securityoplossingen met https-inspectie en geavanceerde malwaredetectie op basis van gedrag zijn dan ook cruciaal om moderne malware effectief te bestrijden.

Dat concludeert WatchGuard Technologies in zijn Internet Security Report over het eerste kwartaal van 2020. Het rapport geeft bedrijven, dienstverleners en eindgebruikers een beter inzicht in het huidige dreigingslandschap. Het rapport bevat relevante data, trends, onderzoeksuitkomsten en adviezen voor een solide beveiliging. Voor het eerst is ook gekeken naar het percentage malware dat binnenkomt via versleutelde https-verbindingen.

Monero-cryptominers winnen aan populariteit

Uit de top tien domeinen die malware verspreidden in Q1 (in kaart gebracht met WatchGuard’s DNS-filteringservice DNSWatch) werden er vijf ingezet voor het hosten of aansturen van Monero-cryptominers. Een mogelijke verklaring is dat het toevoegen van een cryptominingmodule voor cybercriminelen een eenvoudige manier is om inkomsten te genereren.

Britse en Duitse organisaties waren een prominent doelwit van vrijwel alle malwarevarianten in WatchGuard’s lijst met meest voorkomende malware.

De impact van het coronavirus

De wereldwijde COVID-19-pandemie en de daarmee gepaard gaande transitie naar thuiswerken heeft het dreigingslandschap ingrijpend veranderd. Alleen al in de eerste drie maanden van 2020 zagen we een enorme toename van het aantal aanvallen op individuen. In het rapport vindt u een uitgebreide analyse.

Flawed-Ammyy en Cryxos maken sprong in malwareranglijsten. De trojan Cryxos staat derde in de top vijf met versleutelde malware en de top vijf met meest voorkomende malware. Deze malware wordt vooral ingezet in Hongkong. Cryxos komt binnen als e-mailbijlage vermomd als een factuur en vraagt gebruikers om hun e-mailadres en wachtwoord in te voeren, waarna deze worden opgeslagen. Flawed-Ammyy wordt gebruikt voor oplichtingspraktijken waarbij de aanvaller zich voordoet als een medewerker die technische ondersteuning biedt en vervolgens via de Ammy Admin-supportsoftware toegang krijgt tot de computer van het slachtoffer.

Opleving netwerkaanvallen

Een exploit van Adobe Acrobat Reader die in augustus 2017 is gepatcht, stond in Q1 2020 voor het eerst in WatchGuard’s lijst met meest voorkomende netwerkaanvallen. Dat deze kwetsbaarheid enkele jaren na de ontdekking weer opduikt, onderstreept hoe belangrijk het is om systemen regelmatig te patchen en updaten.

In Q1 haalden drie nieuwe domeinen die phishingcampagnes hosten de top tien van WatchGuard. Hierbij werden marketingplatform Mapp Engage, online gokplatform Bet365 (deze campagne was in het Chinees) en een inlogpagina van telecomprovider AT&T (deze campagne is niet meer actief) nagebootst.

Afname in malware- en netwerkaanvallen

In het eerste kwartaal werd 6,9 procent minder malware gedetecteerd en 11,6 procent minder netwerkaanvallen. Dat terwijl het aantal Fireboxes dat data genereerde met 9 procent steeg. Mogelijk hangt dit samen met de COVID-19-pandemie. Hierdoor werken meer mensen vanuit huis en begeven zich minder potentiële doelwitten op het bedrijfsnetwerk.

“Sommige organisaties zijn huiverig om https-inspectie in te stellen vanwege het extra werk dat hierbij komt kijken”, zegt Corey Nachreiner (foto), chief technology officer bij WatchGuard. “Onze data laten echter duidelijk zien dat een ruime meerderheid van de malware wordt afgeleverd via versleutelde verbindingen. Het is simpelweg geen optie meer om verkeer ongeïnspecteerd door te laten. Malware wordt steeds geavanceerder en moeilijker te detecteren. De enige betrouwbare verdediging bestaat uit een reeks gelaagde securitydiensten, waaronder geavanceerde threat detection en https-inspectie.”

WatchGuard wijst op onafhankelijke testen, waaruit blijkt dat WatchGuard-producten hoge doorvoersnelheden blijven halen als ze https-verkeer inspecteren. Dit is zeker niet vanzelfsprekend. Zo toonde onderzoek van het bekende testlab Miercom aan dat de Firebox M370 beter presteert dan concurrerende producten tijdens inspectie van https-verkeer met volledige security ingeschakeld.

Het volledige Internet Security Report over Q1 2020 is hier beschikbaar.

Terug naar nieuws overzicht

Tags

Security