Wouter Hoeffnagel - 12 december 2023

WatchGuard: Aanvallers stappen over op living-off-the-land-technieken

Remote Access Software is steeds vaker doelwit van cybercriminelen. Ook maken aanvallers gebruik van nieuwe technieken om wachtwoorden en informatie te stelen. In toenemende mate maken aanvallers de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken voor het aanvallen van endpoints.

WatchGuard: Aanvallers stappen over op living-off-the-land-technieken image

Dit blijkt uit de meest recente Internet Security Report (ISR) van WatchGuard Technologies. Het rapport beschrijft de belangrijkste malwaretrends en netwerk- en endpointsecuritydreigingen die in het derde kwartaal van 2023 zijn geanalyseerd door onderzoekers van het WatchGuard Threat Lab.

Tools voor externe toegang vaker ingezet

Hackers gebruiken steeds vaker Remote Access Tools en Software. Zo proberen ze lokale detectiesystemen te omzeilen, onderschrijven ook de FBI en CISA. Zo ontdekten de onderzoekers een truc waarbij hackers via een nepversie van TeamViewer volledige toegang kregen tot het systeem van het slachtoffer.

Meer ransomwareaanvallen door Medusa

In eerste instantie leek het aantal gedetecteerde endpoint-ransomwareaanvallen af te nemen in Q3. Het tegenovergestelde bleek waar te zijn toen het Threat Lab ook de Medusa-malware in het vizier kreeg. Deze variant is gedetecteerd met een standaard signature van de geautomatiseerde signature engine van het Threat Lab en verschijnt voor het eerst in de top-10 van malwarebedreigingen. Met deze variant in acht genomen steeg het aantal ransomware-aanvallen met 89% ten opzichte van het vorige kwartaal.

Meer ‘living-off-the-land’-technieken ingezet

Het gebruik van schadelijke scripts als aanvalsmethode daalde met 11% in Q3, na een afname van 41% in Q2. Toch zijn aanvallen gebaseerd op scripts nog steeds de meest voorkomende aanvalsmethode, goed voor 56% van het totaal aantal cyberaanvallen. Hierbij gebruiken hackers scripts zoals PowerShell voor het opzetten van zogeheten ‘living-off-the-land’-aanvallen. De aanvallers maken daarbij gebruik van bestaande, legitieme bestanden en programma’s op het systeem van het slachtoffer. Dit is een bewezen tactiek om detectie te vermijden.

De living-off-the-landstrategie blijft onverminderd populair en is de meest voorkomende aanvalsmethode gericht op endpoints. Naast een toename in PowerShell-aanvallen zagen onderzoekers ook Windows living-of-the-land binaries (uitvoerbare bestanden) met 32% toenemen. Waarschijnlijk is dat het gevolg van de striktere security van PowerShell en andere scripttalen.

Minder aanvallen via versleutelde verbindingen

Bijna de helft (48%) van alle gedetecteerde malware is afkomstig via versleutelde verbindingen. Dat aandeel is aanzienlijk lager dan in eerdere kwartalen. Over het algemeen namen de totale malwaredetecties met 14% toe.

Dropper-familie Stacked is populairder

In Q3 behoorden vier van de vijf vaakst gedetecteerde versleutelde malwaregevallen tot een familie van e-mailgebaseerde droppers die schadelijke payloads afleveren. Cybercriminelen gebruiken deze kwaadaardige software om andere schadelijke programma’s of codes te installeren op een doelsysteem.

Met uitzondering van één variant in de top-5 behoorde elke variant tot de dropper-familie Stacked. Aanvallers versturen deze droppers als bijlage bij een spearphishingmail. Deze e-mails lijken afkomstig van een bekende afzender en beweren een factuur of belangrijk document ter beoordeling te bevatten. Het doel hierbij is om eindgebruikers te misleiden om malware te downloaden. Twee van de Stacked-varianten, Stacked.1.12 en Stacked.1.7, verschenen ook in de top-10 meest voorkomende malwaredetecties.

Malware is makkelijker beschikbaar

Een nieuwe malwarefamilie genaamd Lazy.360502 is opgedoken in de top-10 van de belangrijkste malwarebedreigingen. Het verspreidt de adware-variant 2345explorer en de Vidar-wachtwoorddief. Deze malware heeft connecties met een Chinese website, die een credential-stealer aanbiedt en lijkt te functioneren als een ‘as-a-service’-dienst voor het stelen van wachtwoorden. Cybercriminelen kunnen hier betalen voor gestolen inloggegevens.

16% meer netwerkaanvallen in Q3

ProxyLogon was de meest aangevallen kwetsbaarheid bij netwerkaanvallen en vertegenwoordigde 10% van alle gedetecteerde netwerkinbreuken.

“Het dreigingslandschap verandert voortdurend en aanvallers gebruiken steeds nieuwe tools en methoden. Organisaties moeten daarom op de hoogte blijven van de laatste ontwikkelingen en hun securitystrategie aanpassen”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard. “Moderne beveiligingsoplossingen, zoals firewalls en endpointsecurity-software, kunnen netwerken en apparaten beter beschermen. Maar bij social engineering-aanvallen speelt de eindgebruiker een cruciale rol in het voorkomen van inbraken door kwaadwillende actoren. Daarom is het essentieel dat organisaties hun medewerkers trainen in het herkennen van social engineering en een geïntegreerde securityaanpak volgen die meerdere verdedigingslagen omvat. Managed service providers kunnen hierbij van grote waarde zijn.”

Net als bij de vorige ISR’s is alle gebruikte data gebaseerd op verzamelde, anonieme dreigingsinformatie van actieve WatchGuard-oplossingen. WatchGuard gebruikt alleen gegevens van eigenaars die daarvoor expliciet toestemming hebben gegeven. Het complete Q3 2023 Internet Security Report is hier beschikbaar.

DIC Awards 5/12/2024 t/m 20/03/2025 BW DSD 28/11/2024 t/m 26/12/2024 BN + BW
DIC Awards 5/12/2024 t/m 20/03/2025 BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!