Hoewel het aantal malwareaanvallen in het tweede kwartaal afnam in vergelijking met voorgaande kwartalen, nam het aandeel malware dat via versleutelde verbindingen binnendringt juist fors toe. Dat concludeert WatchGuard Technologies in zijn nieuwste Internet Security Report. Ook het aantal Office-exploits kende een stijging.
Het Internet Security Report informeert organisaties over het actuele dreigingslandschap en draagt best practices voor IT-beveiliging aan.
Exploits voor Microsoft Office maken een flinke opmars. Het belangrijkste incident van het kwartaal was de Follina Office-exploit (CVE-2022-30190). Die werd voor het eerst gemeld in april en pas eind mei gepatcht. Follina werd geleverd via een kwaadaardig document en kon Windows Protected View en Windows Defender omzeilen. Ook natiestaten maakten misbruik hiervan. Drie andere Office-exploits (CVE-2018-0802, RTF-ObfsObjDat.Gen en CVE-2017-11882) werden op grote schaal gedetecteerd in Duitsland en Griekenland.
Het aantal malwarebesmettingen op endpoints slonk met 20%. Wel steeg het totale aantal browser-exploits met 23%. Chrome-exploits kende met een groei van 50% de sterkste stijging. Een mogelijke reden voor deze toename is de persistentie van verschillende zero-day-exploits. Scripts bleven verantwoordelijk voor het leeuwendeel van de besmettingen (87%) in het tweede kwartaal.
Het aantal aanvallen op ICS- en SCADA-systemen nam toe. Ook zagen de onderzoekers een aantal nieuwe dreigingen (WEB Directory Traversal -7 en WEB Directory Traversal -8). De twee handtekeningen lijken erg op elkaar. De eerste maakt gebruik van een kwetsbaarheid die in 2012 voor het eerst werd ontdekt in een specifieke SCADA-interfacesoftware. De tweede werd het meest gesignaleerd in Duitsland.
“Hoewel het aantal malware-aanvallen in het tweede kwartaal afnam ten opzichte van de recordhoogten in voorgaande kwartalen, kwam meer dan 81% van de detecties via TLS-gecodeerde verbindingen. Daarmee is een zorgwekkende opwaartse trend voortgezet”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard. “Dit kan een weerspiegeling zijn van actoren die hun tactiek verleggen naar meer ongrijpbare malware.”
