WatchGuard: Remote Access Software steeds vaker misbruikt

Hackers hebben hun pijlen steeds vaker gericht op Remote Access Software. Daarnaast zijn er nieuwe technieken in omloop voor het stelen van wachtwoorden en informatie. Ook maken cybercriminelen de overstap van het gebruik van scripts naar het toepassen van andere ‘living-off-the-land’-technieken om een aanval op eindpoints te starten. Dat concludeert WatchGuard Technologies in zijn meest recente Internet Security Report (ISR).

Het rapport beschrijft de belangrijkste malwaretrends en netwerk- en endpointsecuritydreigingen die in het derde kwartaal van 2023 zijn geanalyseerd door onderzoekers van het WatchGuard Threat Lab. Een overzicht van de meest opvallende bevindingen uit het ISR-rapport:

• Tools voor externe toegang steeds vaker ingezet voor hackpogingen
  Hackers gebruiken steeds vaker Remote Access Tools en Software. Zo proberen ze lokale detectiesystemen te omzeilen. Deze conclusie onderschrijft zowel de FBI als de CISA. Zo ontdekten de onderzoekers een truc waarbij hackers via een nepversie van TeamViewer volledige toegang kregen tot het systeem van het slachtoffer.

• Medusa-ransomware veroorzaakt stijging ransomwareaanvallen
  In eerste instantie leek het aantal gedetecteerde endpoint-ransomwareaanvallen af te nemen in Q3. Het tegenovergestelde bleek waar te zijn toen het Threat Lab ook de Medusa-malware in het vizier kreeg. Deze variant werd gedetecteerd met een standaard signature van de geautomatiseerde signature engine van het Threat Lab en verscheen voor het eerst in de top-10 van malwarebedreigingen. Met deze variant in acht genomen steeg het aantal ransomware-aanvallen met 89% ten opzichte van het vorige kwartaal.

• Minder scripts, meer ‘living-off-the-land’-technieken
  Het gebruik van schadelijke scripts als aanvalsmethode daalde met 11% in Q3, na een afname van 41% in Q2. Toch zijn aanvallen gebaseerd op scripts nog steeds de meest voorkomende aanvalsmethode, goed voor 56% van het totaal aantal cyberaanvallen. Hierbij gebruiken hackers scripts zoals PowerShell voor het opzetten van zogeheten ‘living-off-the-land’-aanvallen. De aanvallers maken daarbij gebruik van bestaande, legitieme bestanden en programma’s op het systeem van het slachtoffer. Dit is een bewezen tactiek om detectie te vermijden.
  
  De living-off-the-landstrategie blijft onverminderd populair en is de meest voorkomende aanvalsmethode gericht op endpoints. Naast een toename in PowerShell-aanvallen zagen onderzoekers ook Windows living-of-the-land binaries (uitvoerbare bestanden) met 32% toenemen. Waarschijnlijk is dat het gevolg van de striktere security van PowerShell en andere scripttalen.
• Aanvallen via versleutelde verbindingen minder populair
  Bijna de helft (48%) van alle gedetecteerde malware is afkomstig via versleutelde verbindingen. Dat aandeel is aanzienlijk lager dan in eerdere kwartalen. Over het algemeen namen de totale malwaredetecties met 14% toe.

• Dropper-familie Stacked groeit in populariteit
  In Q3 behoorden vier van de vijf vaakst gedetecteerde versleutelde malwaregevallen tot een familie van e-mailgebaseerde droppers die schadelijke payloads afleveren. Cybercriminelen gebruiken deze kwaadaardige software om andere schadelijke programma’s of codes te installeren op een doelsysteem.
  
  Met uitzondering van één variant in de top-5 behoorde elke variant tot de dropper-familie Stacked. Aanvallers versturen deze droppers als bijlage bij een spearphishingmail. Deze e-mails lijken afkomstig van een bekende afzender en beweren een factuur of belangrijk document ter beoordeling te bevatten. Het doel hierbij is om eindgebruikers te misleiden om malware te downloaden. Twee van de Stacked-varianten, Stacked.1.12 en Stacked.1.7, verschenen ook in de top-10 meest voorkomende malwaredetecties.

• Malware wordt steeds meer gestandaardiseerd en gemakkelijker beschikbaar
  Een nieuwe malwarefamilie genaamd Lazy.360502 is opgedoken in de top-10 van de belangrijkste malwarebedreigingen. Het verspreidt de adware-variant 2345explorer en de Vidar-wachtwoorddief. Deze malware heeft connecties met een Chinese website, die een credential-stealer aanbiedt en lijkt te functioneren als een ‘as-a-service’-dienst voor het stelen van wachtwoorden. Cybercriminelen kunnen hier betalen voor gestolen inloggegevens.

• Het aantal netwerkaanvallen nam in Q3 toe met 16%
  ProxyLogon was de meest aangevallen kwetsbaarheid bij netwerkaanvallen en vertegenwoordigde 10% van alle gedetecteerde netwerkinbreuken.

Securitybewustzijn vergroten

“Het dreigingslandschap verandert voortdurend en aanvallers gebruiken steeds nieuwe tools en methoden. Organisaties moeten daarom op de hoogte blijven van de laatste ontwikkelingen en hun securitystrategie aanpassen”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard. “Moderne beveiligingsoplossingen, zoals firewalls en endpointsecurity-software, kunnen netwerken en apparaten beter beschermen. Maar bij social engineering-aanvallen speelt de eindgebruiker een cruciale rol in het voorkomen van inbraken door kwaadwillende actoren. Daarom is het essentieel dat organisaties hun medewerkers trainen in het herkennen van social engineering en een geïntegreerde securityaanpak volgen die meerdere verdedigingslagen omvat. Managed service providers kunnen hierbij van grote waarde zijn.”

Net als bij de vorige ISR’s is alle gebruikte data gebaseerd op verzamelde, anonieme dreigingsinformatie van actieve WatchGuard-oplossingen. WatchGuard gebruikt alleen gegevens van eigenaars die daarvoor expliciet toestemming hebben gegeven.

Het complete Q3 2023 Internet Security Report is hier te downloaden.