Onderzoek: cybercriminelen verleggen focus naar diefstal inloggegevens

Mimikatz, slechte wachtwoordhygiëne en bruteforce-aanvallen onderstrepen noodzaak MFA

Den Haag, 13 september 2018 – WatchGuard Technologies heeft de nieuwste editie van het Internet Security Report vrijgegeven. Dit onderzoeksrapport van het WatchGuard Threat Lab beschrijft het huidige dreigingslandschap voor het mkb en organisaties met meerdere vestigingen. Een van de conclusies is dat de ‘wachtwoordsteler’ Mimikatz in Q2 van 2018 de overheersende malwarevariant was. Ook blijkt uit analyses dat zwakke wachtwoorden – en bruteforce-aanvallen die daarop inspelen – nog steeds veel voorkomen.

Het Internet Security Report geeft organisaties inzicht in de voornaamste cyberdreigingen van dit moment. Ook bevat het rapport adviezen voor een solide beveiliging, zowel ter bescherming van de eigen organisatie als van partners en klanten. Dit zijn de belangrijkste conclusies in deze editie:

  • Mimikatz was in Q2 voor het eerst dé dominante malwarevariant. De bekende ‘wachtwoordsteler’ Mimikatz was in deze periode goed voor maar liefst 27,2 procent van de top-10 malwarevarianten. Mimikatz is al langer populair, maar kwam nog nooit eerder op plek één. De opmars van Mimikatz duidt erop dat authenticatieaanvallen en diefstal van inloggegevens nog steeds tot de belangrijkste wapens van cybercriminelen behoren. Duidelijk is dan ook dat wachtwoorden alleen niet voldoende bescherming bieden. Een multifactorauthenticatie (MFA)-oplossing maakt het voor hackers veel moeilijker om succesvol in te loggen en toegang te krijgen tot het netwerk.
  • Meer dan 75 procent van de malwareaanvallen vindt plaats via internet. In Q2 was ruim driekwart van de aanvallen webgebaseerd. Dit toont aan dat organisaties een http- en https-inspectiemechanisme nodig hebben om het grootste gedeelte van de aanvallen te voorkomen. ‘WEB Brute Force Login -1.1021’ staat op de vierde plek in de lijst met de meest voorkomende webaanvallen. Aanvallers voeren hiermee een stortvloed aan inlogpogingen uit bij webapplicaties. Ze loggen in met een eindeloze reeks willekeurige combinaties, waarmee zij in korte tijd wachtwoorden van gebruikers kunnen kraken. Met name deze aanval maakt duidelijk dat cybercriminelen zich in hoge mate richten op het stelen van inloggegevens. Bovendien tonen deze aanvallen aan dat een goede security meer vereist dan wachtwoordbeveiliging en -complexiteit.
  • Circa de helft van het militaire en overheidspersoneel gebruikt zwakke wachtwoorden. Dat concludeert het WatchGuard Threat Lab na een diepgaande analyse van de data die werden gelekt na de grote LinkedIn-hack in 2012. Het onderzoeksteam ontdekte dat de helft van de wachtwoorden gekoppeld aan relevante e-mailadressen (.mil en .gov) in de database objectief gezien zwak zijn. 178.580 wachtwoorden werden binnen twee dagen gekraakt. Onder andere de wachtwoorden ‘123456’, ‘password’, ‘linkedin’, ‘sunshine’ en ‘111111’ kwamen erg vaak voor. Het onderzoek wees verder uit dat ruim 50 procent van de wachtwoorden van burgers zwak waren. Deze uitkomsten onderstrepen het belang van sterkere wachtwoorden. Met name overheidsmedewerkers, die mogelijk gevoelige informatie verwerken, moeten de lat qua wachtwoordhygiëne hoger leggen. Elke organisatie zou trainingen voor het personeel moeten aanbieden en MFA-oplossingen moeten implementeren om zo het risico op datalekken te beperken.
  • Cryptominer stormt malware-top 10 binnen. Zoals verwacht wordt kwaadaardige cryptomining steeds populairder als hackingtactiek. Cryptominers kwamen in het tweede kwartaal van 2018 voor het eerst terecht in de top 10 van WatchGuard’s malwarelijst. In Q1 ontdekte WatchGuard zijn eerste cryptominer genaamd Cryptominer.AY. Deze komt sterk overeen met de JavaScript-cryptominer Coinhive, die computers van slachtoffers misbruikt om de op privacy gerichte cryptocurrency Monero te delven. Uit de WatchGuard-data blijkt dat ongeveer 75 procent van het totale aantal aanvallen met deze cryptominer gericht was op slachtoffers in de Verenigde Staten.
  • Cybercriminelen blijven vertrouwen op kwaadaardige Office-documenten.Aanvallers blijven Office-documenten inzetten om nietsvermoedende slachtoffers voor de gek te houden. Ze maken daarbij gebruik van oude kwetsbaarheden in het populaire Microsoft-product. Het is interessant om te zien dat drie nieuwe Office-malware-exploits de top 10-lijst van WatchGuard hebben gehaald. Driekwart van deze aanvallen was gericht op EMEA-slachtoffers, met een sterke focus op gebruikers in Duitsland.
Betrouwbare authenticatie is cruciaal
“Authenticatie is het fundament onder elke securitystrategie”, zegt Corey Nachreiner, chief technology officer WatchGuard Technologies. “De dreigingen in het tweede kwartaal van 2018 leveren overweldigend bewijs dat betrouwbare authenticatie essentieel is. Van geavanceerde malware die inloggegevens steelt tot bruteforce-aanvallen: cybercriminelen richten hun vizier steeds nadrukkelijker op het kraken van wachtwoorden om ongeoorloofde toegang te verkrijgen tot netwerken en gevoelige data.”

“Door deze ontwikkelingen groeit de behoefte aan nieuwe, innovatieve verdedigingsmiddelen”, vervolgt Nachreiner. “Daarom heeft WatchGuard het productaanbod uitgebreid met onder meer AuthPoint – onze cloudgebaseerde MFA-oplossing – en IntelligentAV, een dienst die drie detectiemethoden combineert voor het blokkeren van malware die niet door traditionele, op handtekeningen gebaseerde antivirusproducten wordt tegenhouden. Elke organisatie heeft een gelaagde verdediging nodig die bescherming biedt tegen deze continu evoluerende aanvalsmethoden.”

Firebox Feed
Het volledige Internet Security Report bevat verder een uitvoerige analyse van de kwetsbaarheid van EFail-encryptie. De bevindingen in het rapport zijn gebaseerd op geanonimiseerde Firebox Feed-gegevens van de bijna 40.000 actieve WatchGuard UTM-apparaten die wereldwijd worden gebruikt. Alleen in dit tweede kwartaal blokkeerden deze appliances al bijna 14 miljoen malwarevarianten (449 per apparaat) en meer dan 1 miljoen netwerkaanvallen (26 per apparaat).

Download hier het volledige rapport. Ga voor realtime inzicht in kwetsbaarheden naar WatchGuard’s Threat Landscape-datavisualisatietool. De kwetsbaarheden zijn in de tool verdeeld per type, regio en datum. Op Secplicity.org kunt u bij 443 – Security Simplified allerlei securitypodcasts vinden.

WG_ISR_image

Over WatchGuard Technologies

WatchGuard Technologies is wereldwijd leider in netwerkbeveiliging en levert Unified Threat Management (UTM)-oplossingen, next-generation firewalls, veilige wifiverbindingen en network intelligence-dienstverlening van topkwaliteit aan meer dan 80.000 klanten over de hele wereld. De bedrijfsmissie is security van enterpriseniveau mogelijk maken voor alle soorten organisaties, ongeacht hun grootte. Dit doet WatchGuard met eenvoud als uitgangspunt, waardoor het diensten- en productenportfolio uitermate geschikt is voor zowel grote ondernemingen als het MKB. Het hoofdkantoor is gevestigd in Seattle. Daarnaast heeft WatchGuard vestigingen in Noord-Amerika, Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Voor meer informatie kunt u terecht op: www.watchguard.com

Voor extra informatie, promoties en updates, volg WatchGuard op Twitter (@WatchGuard), Facebook of via de LinkedIn-bedrijfspagina. Of bezoek onze InfoSec-blog, Secplicity, voor meer realtime updates over de laatste dreigingen en hoe daarmee om te gaan: www.secplicity.org

WatchGuard: 30 procent malwareaanvallen is nieuw of ‘zero day’

Quarterly Internet Security Report geeft inzicht in actuele cybersecuritytrends

Den Haag, 3 april 2017 – 30 procent van de malwareaanvallen is nieuw of een zero-day-aanval. Dat is een van de opvallendste conclusies uit het Quarterly Internet Security Report van WatchGuard Technologies. Het rapport is gebaseerd op het vierde kwartaal van 2016 en signaleert actuele cybersecuritydreigingen voor het mkb en de corporate sector. Daarnaast beschrijft het trends, presenteert het de opvallendste cybersecurity-anekdotes en biedt het praktische tips voor securityprofessionals.

2016 was een bewogen securityjaar. Het Mirai-botnet sloeg toe, banken lagen onder vuur in de SWIFT-aanvallen, gezondheidsorganisaties kampten met hacks en er zijn sterke vermoedens van Russische inmenging in de Amerikaanse presidentsverkiezingen. Ransomwareaanvallen via phishing en geïnfecteerde websites domineerden de headlines.

Dit zijn de belangrijkste 5 conclusies uit het rapport, in willekeurige volgorde:

  • Ongeveer 30 procent van de malware was geclassificeerd als nieuw of ‘zero day, omdat het nog niet eerder werd ontdekt door een traditionele, handtekeninggebaseerde antivirusoplossing. Dat bevestigt dat cybercriminelen steeds beter in staat zijn hun malware automatisch te laten veranderen van vorm, zodat ze dergelijke detectiesystemen te snel af zijn. Zonder moderne detectietechnieken missen bedrijven ongeveer een derde van alle malware.
  • Oude gevaren steken opnieuw de kop op.
    Het is al een oude truc, maar nog altijd bevatten veel spearphishingmails documenten met kwaadaardige macro’s. De aanvallers misbruiken daarbij nu ook Microsofts’ nieuwe documentformaten. Daarnaast gebruiken aanvallers nog altijd kwaadaardige web shells voor het kapen van webservers. PHP-shells zijn nog altijd veelgebruikt, zeker nu aanvallers deze oude aanvalsmethode hebben verbeterd met nieuwe obfuscatiemethoden (het verhullen van kwaadaardige code door deze zo goed als onleesbaar te maken).

  • JavaScript is een populaire taal voor het afleveren van malware en obfuscatie.
    De Firebox Feed zag een stijging van kwaadaardige JavaScript, zowel in e-mail als op het web.

  • De meeste netwerkaanvallen hebben webservices en browsers als doelwit.
    73 procent van de belangrijkste aanvallen richten hun pijlen op webbrowsers met drive-by-download-aanvallen, waarbij cybercriminelen ongemerkt malware op het systeem van het slachtoffer installeren.
  • De belangrijkste netwerkaanvalsmethode, Wscript.shell Remote Code Execution, was vrijwel volledig gericht op Duitsland.
    Deze methode had in 99 procent van de gevallen een Duits doelwit.
WatchGuards Internet Security Report is gebaseerd op geanonimiseerde data van meer dan 24.000 actieve Watchguard UTM-appliances wereldwijd. Deze appliances blokkeerden in Q4 meer dan 18,7 miljoen malwarevarianten, een gemiddelde van 758 varianten per device. Ze blokkeerden in die periode ook meer dan 3 miljoen netwerkaanvallen, gemiddeld 123 aanvallen per device.

Onderzoek naar IoT-kwetsbaarheden
Als reactie op de snelle verspreiding van het Mirai-botnet is het WatchGuard Threat Lab een lopend onderzoeksproject gestart dat IoT-apparaten op kwetsbaarheden analyseert. Het onderzoek dat beschreven staat in dit rapport evalueerde webcams, fitnessaccessoires en andere gadgets met een netwerkverbinding. Ook worpen de onderzoekers een grondige blik op een kwetsbaarheid die het Threat Lab vond in een relatief populaire draadloze IP-camera. Het rapport geeft aanbevelingen aan consumenten hoe ze hun IoT-apparaat kunnen beveiligen.

Direct inzicht
“De toevoeging van de Firefox Feed geeft ons Threat Lab direct inzicht in de evolutie van cyberaanvallen en hoe bedreigende actoren zich gedragen”, zegt Corey Nachreiner, chief technology officer van WatchGuard Technologies. “Ieder kwartaal zal ons rapport nieuwe Firebox Feed-data combineren met uniek onderzoek en analyse van belangrijke security-incidenten. Daaruit destilleren we de belangrijkste trends en geven we aanwijzingen en best practices voor een optimale verdedigingsstrategie.”

Het volledige rapport is hier te downloaden: www.watchguard.com/security-report

Schermafbeelding 2017-03-31 om 13.41.17.png
Over WatchGuard Technologies
WatchGuard Technologies is wereldwijd leider in netwerkbeveiliging en levert Unified Threat Management (UTM)-oplossingen, next-generation firewalls, veilige wifiverbindingen en network intelligence-dienstverlening van topkwaliteit aan meer dan 75.000 klanten over de hele wereld. De bedrijfsmissie is security van enterpriseniveau mogelijk maken voor alle soorten organisaties, ongeacht hun grootte. Dit doet WatchGuard met eenvoud als uitgangspunt, waardoor het diensten- en productenportfolio uitermate geschikt is voor zowel grote ondernemingen als het MKB. Het hoofdkantoor is gevestigd in Seattle. Daarnaast heeft WatchGuard vestigingen in Noord-Amerika, Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Voor meer informatie kunt u terecht op: www.watchguard.com

Voor extra informatie, promoties en updates, volg WatchGuard op Twitter (@WatchGuard), Facebook of via de LinkedIn-bedrijfspagina. Of bezoek onze InfoSec-blog, Secplicity, voor meer realtime updates over de laatste dreigingen en hoe daarmee om te gaan: www.secplicity.org