De gevaarlijkste dreiging van Q3 in 2022 werd uitsluitend via versleutelde verbindingen gedetecteerd. Daarnaast zijn adversary-in-the-middle-aanvallen (ook bekend als man-in-the-middle-aanvallen) steeds meer gemeengoed. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook de aanvallen op industriële controlesystemen (ICS) nemen toe.


Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan. Dit zijn de belangrijkste conclusies uit het rapport voor Q3 2023:

1. Overgrote meerderheid van de malware komt via versleutelde verbindingen

Hoewel de malware Agent.IIQ Q3 2022 op de derde plaats stond in de normale top-10 van malware, staat het bovenaan de lijst van versleutelde malware. Alle Agent.IIQ-detecties zijn afkomstig van versleutelde verbindingen. Dat is onderdeel van een bredere trend: 82% van alle gedetecteerde malware was afkomstig van een versleutelde verbinding.

2. ICS- en SCADA-systemen blijven populaire aanvalsdoelen

Nieuw in de top 10 lijst van netwerkaanvallen dit kwartaal is een aanval van het type SQL-injectie die verschillende leveranciers trof. Een van deze bedrijven is Advantech, wiens WebAccess-portaal wordt gebruikt voor SCADA-systemen in diverse kritieke infrastructuren. Een andere ernstige exploit in het derde kwartaal betrof de U.motion Builder-software van Schneider Electric, versie 1.2.1 en ouder.


3. Kwetsbaarheden in Exchange-server blijven een risico vormen

De meest recente CVE onder de nieuwe handtekeningen van het Threat Lab dit kwartaal, CVE-2021-26855, is een Microsoft Exchange Server Remote Code Execution (RCE)-kwetsbaarheid voor on-premises servers. Deze RCE-kwetsbaarheid kreeg een CVE-score van 9,8 en het is bekend dat er misbruik van is gemaakt. Het merendeel van de servers is inmiddels gepatcht, maar niet allemaal.

4. Aanvallers richten pijlen op gratis software

De seedloader Fugrafa downloadt malware die kwaadaardige code injecteert. Dit kwartaal onderzocht het Threat Lab een monster ervan dat werd aangetroffen in een cheat-engine voor het populaire spel Minecraft. Het Threat Lab ontdekte dat dit specifieke voorbeeld connecties heeft met Racoon Stealer, een cryptocurrency-hackingcampagne die gebruikt wordt om accountinformatie van cryptocurrency-uitwisselingsdiensten te kapen.

5. Aanvallers kijken verder dan cryptominingsites

Nog steeds zijn nietsvermoedende gebruikers vaak het slachtoffer van malware. Met drie nieuwe toevoegingen aan de lijst van topmalwaredomeinen waren er in Q3 meer malware en nieuwe malwaredomeinen dan gewoonlijk. Steeds vaker zullen aanvallers daarbij naar nieuwe categorieën websites zoeken, nu cryptocurrency in roerig vaarwater is gekomen.

6. JavaScript-versluiering in exploitkits

JavaScript is een veelvoorkomende vector voor het aanvallen van gebruikers. Cybercriminelen gebruiken voortdurend exploitkits op basis van JavaScript. Naarmate de verdedigingswerken van browsers zijn verbeterd, is ook het vermogen van aanvallers om schadelijke JavaScript-code te versluieren toegenomen.

7. Anatomie van gestandaardiseerde adversary-in-the-middle aanvallen

Adversary-in-the-middle (AitM)-aanvallen zijn snel in opkomst. Het onderzoek van het Threat Lab naar EvilProxy, het belangrijkste beveiligingsincident van het derde kwartaal, laat zien hoe kwaadwillenden beginnen over te schakelen op geavanceerdere AitM-technieken. De release van een AitM-toolkit genaamd EvilProxy heeft de drempel voor toegang tot wat voorheen een geavanceerde aanvalstechniek was, aanzienlijk verlaagd.


Dit is een ingezonden persbericht en valt buiten de verantwoordelijkheid van de redactie

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here