Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 29 september 2020

Zero-day malware sterk in opkomst

Security

Maar liefst 70 procent van alle cyberaanvallen tijdens het tweede kwartaal van 2020 zetten zero-day malware in. Dat is een stijging van 12 procent ten opzichte van het eerste kwartaal. Deze malware omzeilt traditionele antivirus-handtekeningen en zijn hierdoor moeilijker detecteerbaar.

Dit blijkt uit het nieuwe Internet Security Rapport over Q2 van 2020 van securityleverancier WatchGuard Technologies. “Het zijn niet alleen legitieme bedrijven die hun activiteiten door COVID-19 hebben aangepast”, zegt Corey Nachreiner, CTO van WatchGuard. “Cybercriminelen zetten geavanceerde aanvalsmethoden in. We zien een lichte daling van 8 procent van het totaal aantal aanvallen, waarschijnlijk omdat meer mensen thuiswerken. Daartegenover zien we dat aanvallers traditionele antimalware gebaseerd op signatures weten te ontwijken. Het is van groot belang dat bedrijven dreigingen gaan detecteren op basis van het gedrag, cloud sandboxing inzetten en een gelaagde aanpak voeren om zowel hun eigen netwerk als dat van thuiswerkers te beschermen.”

Criminelen blijven encryptie inzetten

Zero-day malware maakte onderdeel uit van meer dan twee derde van de in Q2 gedetecteerde aanvallen. Criminelen voerden 34 procent van hun acties uit over versleutelde HTTPS. Bedrijven die niet in staat zijn versleuteld verkeer te inspecteren, missen dus een derde van het inkomende kwaadaardige verkeer.

Het percentage dreigingen die encryptie inzetten is weliswaar gedaald en maakte in Q1 64 procent van het totaal uit. Maar het malware-volume uitgestuurd via HTTPS-verkeer is sterk gestegen. Beheerders lijken de functie voor HTTPS-inspectie gevonden te hebben op hun Firebox-appliances, maar verdere maatregelen lijken absoluut nodig.

Meer aanvallen met JavaScript

In Q2 bereikte een kwaadaardig script met de naam Trojan.Gnaeus de top-10 in de malwarelijst van WatchGuard. Dit script komt terug in bijna een op de vijf malwaredetecties. Met Gnaeus leiden hackers browserverkeer van het slachtoffer om naar een van hun eigen domeinen.

Een andere veelvoorkomende JavaScript-aanval is J.S. PopUnder. Hierbij scant een verborgen script het systeem van het slachtoffer en blokkeert het detectiepogingen. Om dit soort aanvallen tegen te gaan, dienen organisaties browserextensies van onbekende bronnen te blokkeren, de nieuwste patches voor browsers toe te passen, betrouwbare adblockers in te zetten, en hun antimalware-engine geüpdatet te houden.

Malware verstopt in versleutelde Excelbestanden

Een andere nieuwe binnenkomer in de top-10 van WatchGuard is XML-Trojan.Abracadabra. Deze malwarevariant neemt sinds april in populariteit toe en is verstopt in een Excelbestand dat is versleuteld met het wachtwoord ‘VelvetSweatshop’, het standaardwachtwoord voor dergelijke documenten.

Excel voert na opening van het bestand een macro VBA-script uit als executable. Door deze versleuteling omzeilt Abracadabra de meeste antivirusoplossingen. Daarom moeten organisaties macro’s van een onbekende bron altijd blokkeren en sandboxing in de cloud toepassen om de daadwerkelijke aard van dit soort bestanden vast te stellen.

Klassieke DoS-aanvallen maken een comeback

Een zes jaar oude Denial-of-Service (DoS)-aanval op WordPress en Drupal is tijdens het tweede kwartaal in de top-10 van netwerkaanvallen terechtgekomen. Iedere niet-gepatchte installatie van Drupal en WordPress is kwetsbaar voor deze zeer ernstige aanval. Kwaadwilligen leggen hiermee de CPU-kracht en geheugen van de onderliggende hardware plat.

Het aantal aanvallen lag hoog, maar was vooral geconcentreerd op enkele tientallen netwerken, met name in Duitsland. Omdat DoS-scenario’s vragen om constant verkeer richting het slachtoffer, is het zeer waarschijnlijk dat criminelen hun doelen bewust uitkiezen.

Malwaredomeinen zaaien chaos met command and control servers

Twee nieuwe domeinen zijn in Q2 in de WatchGuard top-10 malwaredomeinen verschenen. De meest gebruikte is findresults[.]site. Deze zet een C&C-server in voor een trojan-variant van Dadobra. Bij het opstarten van Windows creëert de trojan een verborgen bestand met bijbehorende registry voor het naar buiten sluizen van data en het downloaden van aanvullende malware.

WatchGuard kreeg ook bericht van een gebruiker over Cioco-froll[.]com. Dit roept een andere C&C-server aan die een - vaak als PDF - verborgen variant van het Asprox-botnet ondersteunt. Een C&C-baken laat de aanvaller weten dat het systeem aan het botnet kan worden toegevoegd. Detectie en blokkade van deze dreiging kan met DNS-firewalling, ongeacht het applicatieprotocol.

Firebox Feed

De kwartaalrapporten van WatchGuard zijn gebaseerd op anonieme data uit de Firebox Feed. Deze data worden geleverd door WatchGuard-appliances waarvan de eigenaren toestemming hebben gegeven om gegevens te delen. Bijna 42.000 appliances leverden data voor Q2, waardoor meer dan 28,5 miljoen malwarevarianten zijn geïdentificeerd (gemiddeld 684 per apparaat) en 1.75 miljoen netwerkdreigingen (42 per apparaat). In totaal zijn in het tweede kwartaal 410 unieke aanvallen verzameld. Dat is een toename van 15 procent ten opzichte van het eerste kwartaal van dit jaar, en het hoogste aantal sinds het vierde kwartaal van 2018.

Het volledige rapport bevat informatie voor organisaties en biedt advies over de te volgen strategie en best practices ter bescherming. Ook bevat het onderzoek een diepgravende analyse van een recent datalek veroorzaakt door hackerscollectief ShinyHunters. Het Internet Security Report van WatchGuard over Q2 2020 is hier te vinden. 

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!