Cybercriminelen zetten alles op alles om de inloggegevens van systemen en gebruikers te stelen. Dat blijkt uit het Q2 2017 Internet Security Report.
Ook stelt het rapporterende bedrijf Watchguard vast dat maar liefst 47 procent van alle malware die hierbij wordt ingezet nieuw ofwel ‘zero day’ is. Met andere woorden. Traditionele antivirus-oplossingen die gebaseerd zijn om het herkennen van ‘virus signatures’ zijn niet in staat deze aanvallen tegen te houden.
Het rapport biedt veel informatie over aanvalsmethodieken. Verder geeft het ook adviezen hoe deze aanvallen het beste tegengehouden kunnen worden.
Conclusies
Mimikatz was goed voor 36 procent van alle malware-aanvallen. Deze populaire open source-tool voor het stelen van inloggegevens stond het afgelopen kwartaal voor het eerst in de top 10-lijst van belangrijkste malware-varianten.
Mimikatz wordt vaak gebruikt voor het stelen van inloggegevens van Windows-systemen. Dit kwartaal werd het zo vaak gebruikt dat het uitgroeide tot de belangrijkste malware-variant van het tweede kwartaal.
Deze nieuwe uitbreiding van een reeks bekende malware-varianten laat zien dat cybercriminelen continu hun aanvalstactieken aanpassen en verder ontwikkelen.
Phishing-aanvallen maken steeds vaker gebruik van JavaScript om gebruikers om de tuin te leiden. Al een aantal kwartalen maken aanvallers gebruik van JavaScript-code en downloadfuncties voor malware-aanvallen via zowel websites als email.
Zo pasten aanvallers in het tweede kwartaal JavaScript in HTML-bijlages toe bij phishing-aanvallen. Hiermee konden zij inlogpagina’s simuleren van populaire en legitieme websites als Google, Microsoft en andere aanbieders in een poging om gebruikers te verleiden tot het invullen van hun inloggegevens.
Aanvallers richten zich in Noord-Europa op Linux
Cybercriminelen hebben in het tweede kwartaal gebruikgemaakt van een oude kwetsbaarheid om Linux-servers in Nederland en enkele landen in Scandinavië aan te vallen. De aanpak was bedoeld om de hash files van wachtwoorden te pakken te krijgen.
Meer dan 75 procent van deze aanvallen deed een poging om via deze kwetsbaarheid toegang te krijgen tot ‘etc/passwd’. Het advies aan Linux-gebruikers in deze regio is dan ook om zo snel mogelijk hun Linux-servers te updaten.
Stevige groei van aantal brute force-aanvallen op webservers
Gedurende de zomer pasten cybercriminelen geautomatiseerde tools toe om de inloggegevens van webservers te kraken. Deze brute force-aanvallen kwamen in het tweede kwartaal hierdoor in de top 10 van belangrijkste aanvallen terecht.
Webservers die niet op een adequate manier zijn beschermd staan toe dat bij geautomatiseerde aanvallen duizenden wachtwoorden per seconde worden geprobeerd, net zo lang tot de criminelen de juiste inloggegevens vinden.
Bijna de helft van de aanvallen weet antivirus te omzeilen. Meer dan ooit slaagden cybercriminelen er in om zero day-kwetsbaarheden te gebruiken bij hun aanvallen. Met andere woorden: zij passen steeds vaker informatie over security-problemen toe die nog niet bekend zijn bij de softwareleverancier.
De gegevens die in het tweede kwartaal zijn verzameld, laten zien dat klassieke en op ‘signatures’ gebaseerde antivirus-oplossingen steeds onbetrouwbaarder worden. Zeker als het gaat om het tegenhouden van nieuwe aanvalsmethoden. Daarmee is opnieuw aangetoond dat ‘behavioral detection’ steeds belangrijker wordt voor organisaties om veilig te zijn.
Gestopte aanvallen
Het Q2 2017 Internet Security Report is gebaseerd op geanonimiseerde data die is verkregen van de Firebox-firewalls van WatchGuard. Er is hierbij wereldwijd gebruikgemaakt van 33.500 UTM-appliances. In totaal hebben deze appliances in het tweede kwartaal meer dan 16 miljoen malware-varianten tegengehouden. Gemiddeld hield iedere appliance 488 aanvallen tegen.
Internet Security Report Q2 2017
Het kwartaalrapport geeft gedetailleerde informatie over de belangrijkste malware-aanvallen en aanvalstrends gedurende het tweede kwartaal van 2017.
Ook is in het rapport een uitgebreide analyse opgenomen van de bekende Wannacry ransomware-aanval en gaat het rapport dieper in op het meest recente researchproject van WatchGuard’s Threat Lab naar SSH en Telnet honeypots.
Deze blijken continu met de hulp van geautomatiseerde tools te worden aangevallen. De resultaten van dit onderzoeksproject benadrukken nog eens het grote gevaar dat ontstaat als gebruikers de default-inloggegevens die leveranciers aan hun apparaten en systemen meegeven niet vervangen door eigen inlognamen en wachtwoorden. Een probleem dat met name ook geldt bij Internet of Things (IoT) toepassingen.
