Cybercriminelen blijven ook in coronatijd op grote schaal bedrijfsnetwerken aanvallen. In het derde kwartaal van 2020 kwam het aantal netwerkaanvallen zelfs uit op het hoogste niveau in twee jaar tijd. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report.
Het Internet Security Report van WatchGuard is gebaseerd op geanonimiseerde data van tienduizenden WatchGuard-appliances wereldwijd. Bedrijven, partners en hun eindklanten vinden in het Internet Security Report informatie over het actuele dreigingslandschap en best practices voor IT-beveiliging. Het rapport bevat onderzoeksdata, analyses van experts en actuele inzichten op het gebied van malware- en netwerkaanvallen.
Piek in aantal netwerkaanvallen en unieke detecties
Een van de belangrijkste conclusies in het Internet Security Report is dat WatchGuard in Q3 meer dan 3,3 miljoen netwerkaanvallen registreerde, een stijging van 90 procent ten opzichte van het voorgaande kwartaal. Ook het aantal unieke handtekeningen van netwerkaanvallen steeg verder. Beide aantallen bereikten het hoogste niveau in twee jaar tijd. “Het onderhouden en verbeteren van de beveiliging van netwerkgebaseerde bedrijfsmiddelen en diensten blijft dan ook topprioriteit, ook nu steeds meer mensen (deels) vanuit huis werken”, aldus het bedrijf.
Ook maken oplichters steeds vaker misbruik van COVID-19. Een adwarecampagne op legitieme websites die ondersteuning bieden rondom de pandemie staat in WatchGuard’s top tien van gecompromitteerde websites. WatchGuard ontdekte ook een phishingaanval waarbij gebruik werd gemaakt van Microsoft SharePoint om een vervalste Verenigde Naties-loginpagina te hosten. De bijbehorende e-mail ging over coronasteun van de VN voor kleine bedrijven. “Evident is dat cybercriminelen in toenemende mate inspelen op de angst en onzekerheid rondom het virus.”
Klikken op malafide links
Resultaten uit WatchGuard’s DNSWatch maakte inzichtelijk dat er in het derde kwartaal van 2020 in totaal meer dan 2,7 miljoen verbindingen met schadelijke domeinen geblokkeerd werden. Dat komt neer op bijna 500 geblokkeerde verbindingen per organisatie. Volgens het bedrijf zouden gebruikers zonder DNSWatch worden blootgesteld aan 262 malwaredomeinen, 71 gecompromitteerde websites en 52 phishingcampagnes.
Ook richten aanvallers vaker hun pijlen op kwetsbare SCADA-systemen. Daarbij wordt gebruik gemaakt van een exploit van een voorheen gepatchte kwetsbaarheid in een populair SCADA-systeem, waarbij de authenticatie omzeild wordt. “Dit type kwetsbaarheid is niet zo ernstig als een kwetsbaarheid waarmee op afstand code kan worden uitgevoerd. Toch kan deze zwakke plek een aanvaller wel in staat stellen om de controle te krijgen over de SCADA-software op de server.” WatchGuard verwacht dat industriële controlesystemen in het komende jaar een belangrijk doelwit zijn voor cybercriminelen.
Ook een LokiBot-dubbelganger, Farelt, komt steeds vaker naar boven in de malwarelijst. Farelt is wachtwoordsteler die sterk lijkt op LokiBot, en staat in de top vijf van meest voorkomende malware. Hoewel niet duidelijk is of het Farelt-botnet dezelfde command-and-controlstructuur gebruikt als LokiBot, zijn beide malwarevarianten hoogstwaarschijnlijk ontwikkeld door dezelfde groep: SilverTerrier. Het botnet doet meerdere dingen om antivirussoftware te omzeilen en gebruikers te verleiden tot het installeren van de malware.
Daarnaast maakte bankingtrojan en wachtwoordsteler Emotet in Q3 zijn debuut in de top tien van malware. “Emotet valt maar net buiten de top tien van domeinen die malware verspreiden. Deze elfde plek is toch noemenswaardig, omdat het WatchGuard Threat Lab en andere onderzoekers zien dat de huidige Emotet-besmettingen andere malware binnenhalen zoals Trickbot en zelfs de ransomware Ryuk”, aldus het rapport. Ook wijst volgens WatchGuard niets erop dat de dreiging van Emotet afneemt.
Bedrijfsnetwerk én endpoints
“Onze threat intelligence laat zien hoe de aanvalstactieken van cybercriminelen veranderen door COVID-19”, zegt Corey Nachreiner, chief technology officer bij WatchGuard. “In 2021 en daarna is het cruciaal om zowel het bedrijfsnetwerk als de endpoints extra goed te beschermen. Ook is het essentieel dat organisaties zorgen voor een gelaagde beveiliging die bescherming biedt tegen ontwijkende en versleutelde aanvallen, geavanceerde phishingcampagnes en meer.”
Deze editie van het Internet Security Rapport bevat verder onder meer een gedetailleerde analyse van de historische Twitter-hack in juli 2020, waarbij 130 prominente Twitter-accounts werden gekaapt voor bitcoinoplichting.
Het volledige Internet Security Report Q3 2020 is hier te downloaden.
