HP Inc. (NYSE: HPQ) lanceert deze week haar Quarterly Threat Insights Report, met een analyse van real-world aanvallen tegen klanten over de hele wereld. Uit het rapport blijkt dat 29% van de onderschepte malware voorheen onbekend was*. Dit is te wijten aan het wijdverbreide gebruik van packers en verduisteringstechnieken door aanvallers die aan detectie willen ontkomen.
88% van de malware werd via e-mail in de inbox van gebruikers afgeleverd, in veel gevallen nadat gateway-filters waren omzeild. Het duurde gemiddeld 8,8 dagen voordat bedreigingen via hash bij antivirusprogramma’s bekend werden, waardoor hackers meer dan een week voorsprong hadden om hun acties voort te zetten.
Het rapport biedt een uniek inzicht in het gedrag van real-world malware, omdat – in tegenstelling tot andere endpoint-beveiligingstools, die gericht zijn op het voorkomen van of ingrijpen in een aanval – HP Sure Click malware laat draaien, malware verleidt tot uitvoering, terwijl een volledige infectieketen wordt vastgelegd binnen geïsoleerde, micro-virtuele machines. Deze, op hardware gebaseerde, benadering van beveiliging maakt malware onschadelijk en houdt klanten veilig.
Opmerkelijke bedreigingen die door HP Sure Click werden geïsoleerd, waren onder meer:
Exploits op webbrowsers die leidden tot FickerStealer: Een malware aanval via verkeerd gespelde domeinen van populaire instant messaging-diensten. Bezoekers werden omgeleid naar RigEK-landingspagina’s die kwetsbaarheden in webbrowsers en plugin’s probeerden uit te buiten om pc’s van bezoekers te infecteren met informatie-stelende malware genaamd FickerStealer.
Lokmiddelen met als thema ‘bezorging’ verleidden gebruikers ertoe de RAT’s binnen te laten: Een nieuwe Office-malwarebuilder, APOMacroSploit, werd gebruikt om slachtoffers te lokken met spamcampagnes met als thema bezorging, waarbij ze werden verleid tot het openen van bewapende XLS-bijlagen, wat er uiteindelijk toe leidde dat de BitRAT Remote Access Trojan op hun computers werd geïnstalleerd.
De terugkeer van ZLoader: Een toename van ZLoader banking Trojan activiteit, waarbij gebruik wordt gemaakt van een combinatie van technieken – waaronder Word-documenten die lijken op farmaceutische facturen, die kwaadaardige macro’s pas uitvoeren nadat het document is gesloten.
E-mail thread hijacking van overheidsdoelwitten: HP Sure Click stopte e-mail thread hijacking-aanvallen tegen overheidsorganisaties in Midden-Amerika, waar gestolen e-mailgegevens werden gebruikt om overtuigende phishinglokkers te maken voor de verspreiding van Emotet.
“Opportunistische cybercriminaliteit vertoont geen tekenen van vertraging,” zegt Alex Holland, senior malware-analist bij HP Inc. “Cybercriminelen maken gebruik van low-cost malware-as-a-service sets, die zich verspreiden op ondergrondse fora. We hebben ook gezien dat kwaadwillenden blijven experimenteren met malware technieken om hun kansen te vergroten om voet aan de grond te krijgen in netwerken. De meest effectieve uitvoeringstechnieken die we in het vierde kwartaal van 2020 hebben gezien, betroffen oude technologieën zoals Excel 4.0-macro’s die vaak weinig zichtbaarheid bieden voor detectietools.”
Andere belangrijke bevindingen in het rapport zijn:
- Trojans maakte 66% uit van de geanalyseerde malware samples, voornamelijk door kwaadaardige spamcampagnes waarbij Dridex-malware werd verspreid, waarvan in een recente HP-blog werd gemeld dat deze met 239% was toegenomen.
- 88% van de gedetecteerde malware werd afgeleverd via e-mail – met als meest voorkomende lokmiddelen nepbijlagen bij facturen – terwijl webdownloads verantwoordelijk waren voor de resterende 12%.
- Het meest voorkomende type schadelijke bijlagen waren: documenten (31%),
- archiefbestanden (28%), spreadsheets (19%) en uitvoerbare bestanden (17%).
- Kwaadaardige uitvoerbare bestanden stegen met 12%, waarbij CVE-2017-11882 – een geheugencorruptiefout in Microsoft Office’s Equation Editor – goed was voor bijna driekwart van de exploits die door HP Sure Click werden geïsoleerd.
- Een groei van 12% in malware die misbruik maakt van CVE-2017-0199, die vaak wordt gebruikt om kwaadaardige scripts uit te voeren om malware te implementeren wanneer een gebruiker een Office-document open.
“Voor elke nieuwe malwarevariant die hackers creëren, hebben ze een paar dagen de tijd om voordeel te halen uit hun campagnes en machines te besmetten voordat detectietools hen inhalen. Met automatisering is dit proces nu eenvoudiger dan ooit,” vervolgt Dr. Pratt.
“Om te proberen elke bedreiging te detecteren is zinloos, want er zal altijd wel iets tussendoor glippen”, voegt Pratt toe. “De beste cyberverdediging is het isoleren van risico’s op het endpoint door middel van micro-virtualisatie. Dit soort hardwarematige isolatie elimineert de mogelijkheid voor malware om schade toe te brengen aan de host-pc – zelfs van nieuwe malware – omdat het niet vertrouwt op een detect-to-protect beveiligingsmodel. Door ingebouwde beveiliging op hardwareniveau kunnen endpoint-apparaten gebruikers beschermen en aanvallen automatisch herstellen, waardoor de veerkracht van bedrijven wordt verbeterd. Op deze manier kunnen bedrijven doorgaan met waar ze het beste in zijn, nu ze weten dat hun gebruikers en gegevens beschermd zijn.”
