WatchGuard ziet malware steeds vaker gehost op populaire Content Delivery Networks

Esther Sieverding Persberichten

Internet Security Report over Q2 2019 toont sterke volumegroei malware- en phishingaanvallen

Subdomeinen van legitieme Content Delivery Networks (CDN’s) en websites als CloudFlare.net, SharePoint en AmazonAWS.com hosten steeds vaker malware en vormen de basis voor phishingaanvallen. Dat is een van de conclusies van het Internet Security Report over het tweede kwartaal (Q2) van 2019 van WatchGuard Technologies.

Hoewel deze aanvallen niet nieuw zijn en al langer door WatchGuard worden gevolgd, biedt deze uitgave van het Internet Security Report inzicht in de bij aanvallers populaire domeinen. Naast de eerdergenoemde CDN’s en websites gaat het om domeinen als Amazon’s CloudFront.net en legitieme filesharing-websites als [.]mixtape[.]moe.

Overzicht van methodes

“Deze editie van het Internet Security Report geeft een overzicht van de methodes waarmee hackers malware of phishingmails versturen vanaf legitieme contenthostingdomeinen”, zegt Corey Nachreiner, chief technology officer bij WatchGuard Technologies.

Nachreiner: “Gelukkig zijn er meerdere manieren om hier bescherming tegen te bieden. Bijvoorbeeld DNS-level filtering om verbindingen naar kwaadaardige websites te blokkeren, geavanceerde anti-malwarediensten, multifactorauthenticatie die aanvallen met gestolen gegevens voorkomt, en trainingen waardoor werknemers phishingmails leren herkennen. Geen enkele afzonderlijke maatregel zal alle aanvallen tegenhouden. De beste manier waarmee organisaties zichzelf kunnen beschermen is dus een geïntegreerd securityplatform dat meerdere, gelaagde securitydiensten aanbiedt.”

Meer bevindingen
Overige belangrijke conclusies uit het Internet Security Report Q2 2019 van WatchGuard zijn:

  • Kali Linux voor het eerst in de top 10 van meest gebruikte malware – Twee modules van het onder hackers populaire besturingssysteem Kali Linux zijn doorgedrongen tot de top 10 van vaakst gedetecteerde malware door WatchGuard. Trojan.GenericKD, die achterdeuren creëert via de command-and-controlserver, en Backfoor.Small.DT, een web-shell script dat achterdeuren creëert op webservers, staan op respectievelijke de zevende en achtste plaats.
  • Sterke groei malwarevolume ten opzichte van jaar eerder – Het malwarevolume dat op de Fireboxes van WatchGuard terechtkomt is significant gegroeid vergeleken met dezelfde periode vorig jaar. Twee van de drie detectiediensten van WatchGuard detecteerden meer malware in Q2 van 2019 dan in Q2 van 2018. Een daarvan blokkeerde 58% meer malware, terwijl de ander 68% meer tegenhield. Samen komt dat neer op een algehele groei van 64%.
  • Sterke toename phishing en Office-exploits – Twee soorten malware, een phishingaanval die dreigt met het versturen van valse compromitterende informatie over het slachtoffer en een exploit voor Microsoft Office, zijn de top-10 op basis van volume binnengekomen, nadat ze eerder al op de lijsten van Q1 2019 en Q4 2018 figureerden. Dit is een teken dat deze aanvallen zijn geïntensifieerd richting een groot aantal doelwitten. Het is raadzaam dat organisaties Office regelmatig van updates voorzien en investeren in anti-phishing en DNS-filtering.
  • SQL-injecties domineren onder netwerkaanvallen – Van alle netwerkaanvallen gedetecteerd tijdens het tweede kwartaal van 2019 was 34% een SQL-injectieaanval. Dit soort aanvallen komen in verhouding tot een jaar eerder ook vaker voor. Het volume van een specifieke aanval groeide in een jaar tijd, vanaf Q2 2018 tot en met Q2 2019, zelfs met 29.000%. Het is daarom cruciaal dat organisaties met SQL-databases of webservers die toegang tot een dergelijke database hebben deze regelmatig patchen en investeren in een webapplicatiefirewall.
  • Europa steeds vaker doelwit – In Q2 van 2019 richtte bijna 37% van de malware-aanvallen zich op de EMEA-regio, met specifieke aanvallen op het Verenigd Koninkrijk, Italië, Duitsland en Mauritius. APAC volgt op plek 2, met 36% van de malware-aanvallen. Vooral de malwarevarianten Razy en Trojan.Phishing.MH waren op APAC gericht, waarbij 11% van de Trojan.Phishing.MH-gevallen zijn gedetecteerd in Japan.

Data uit Firebox-appliances

De uitkomsten zijn gebaseerd op geanonimiseerde Firebox Feed-data van actieve WatchGuard UTM-appliances. De eigenaren van deze apparaten hebben ervoor gekozen data voor onderzoeksdoeleinden te delen met het Threat Lab. 41.229 appliances over de hele wereld dragen op deze manier bij aan het Internet Security Report. Deze blokkeerden in totaal meer dan 22.619.836 malwarevarianten, gemiddeld 549 samples per apparaat. Verder hebben deze Firebox-appliances 2.265.425 netwerkaanvallen voorkomen, of zestig per apparaat. Dat is een flinke stijging ten opzichte van Q1 2019 en een trendbreuk als het gaat om netwerkaanvallen.

U kunt het Internet Security Report over Q2 2019 hier downloaden.