WatchGuard Threat Lab: aantal ransomwaredetecties eind Q1 al verdubbeld ten opzichte van geheel 2021

Het aantal ransomwaredetecties volume aan ransomware was aan het eind van Q1 2022 al verdubbeld ten opzichte van 2021. Nieuw onderzoek van WatchGuard toont ook een verdrievoudiging aan van Log4Shell-detecties, PowerShell-scripts die een sterke invloed hebben op een golf van endpoint-aanvallen, het Emotet-botnet dat op grote schaal terugkomt, en kwaadaardige cryptomining-activiteit

Gebaseerd op de vroege piek in ransomware dit jaar en gegevens uit voorgaande kwartalen, voorspellen we dat 2022 ons record voor jaarlijkse ransomware-detecties zal breken,” zegt Corey Nachreiner, chief security officer bij WatchGuard. “We blijven er bij bedrijven op aandringen om zich niet alleen in te zetten voor het implementeren van eenvoudige maar uiterst belangrijke maatregelen, maar ook voor een echte uniforme beveiligingsaanpak die zich snel en efficiënt kan aanpassen aan groeiende en evoluerende bedreigingen.”

Andere belangrijke bevindingen uit dit Internet Security Report, waarin gegevens van Q1 2022 worden geanalyseerd, zijn:

Ransomware gaat nucleair: Hoewel bevindingen uit het Threat Lab’s Q4 2021 Internet Security Report lieten zien dat ransomware-aanvallen jaar-op-jaar een dalende trend vertoonden, veranderde dat allemaal in Q1 2022 met een enorme explosie in ransomware-detecties. Opvallend is dat het aantal ransomware-aanvallen dat in Q1 is gedetecteerd, al het dubbele is

LAPSUS$ duikt op na de ondergang van REvil:  Q4 2021 zag de ondergang van de beruchte REvil cybergang, die, achteraf gezien, de deur opende voor de opkomst van een andere groep – LAPSUS$. WatchGuard’s Q1-analyse suggereert dat de afpersingsgroep LAPSUS$, samen met vele nieuwe ransomware-varianten zoals BlackCat, de eerste bekende ransomware geschreven in de programmeertaal Rust, factoren kunnen zijn die bijdragen aan een steeds groter wordend ransomware- en cyberafpersingsdreigingslandschap.

Log4Shell debuteert in top 10 lijst met netwerkaanvallen : De beruchte Apache Log4j2-kwetsbaarheid, ook bekend als Log4Shell, werd begin december 2021 openbaar gemaakt en debuteerde dit kwartaal op modieuze wijze in de top 10 lijst met netwerkaanvallen. Vergeleken met de geaggregeerde IPS-detecties in Q4 2021 is de Log4Shell-handtekening in het eerste kwartaal van dit jaar bijna verdrievoudigd. Log4Shell, dat in het laatste Internet Security Report van WatchGuard als het belangrijkste beveiligingsincident werd genoemd, trok de aandacht omdat het een perfecte 10.0 scoorde op CVSS, de maximaal mogelijke kriticiteit voor een kwetsbaarheid, en vanwege het wijdverbreide gebruik in Java-programma’s en het gemak waarmee arbitraire code kan worden uitgevoerd.

De comeback van Emotet gaat door:  Ondanks de inspanningen van de rechtshandhavingsinstanties om de malware begin 2021 te verstoren, is Emotet goed voor drie van de top 10-detecties en de top wijdverspreide malware dit kwartaal na zijn heropleving in het vierde kwartaal van 2021. Detecties van Trojan.Vita, die zwaar gericht was op Japan en ook in de top vijf van versleutelde malware stond, en Trojan.Valyria maken beide gebruik van exploits in Microsoft Office om het botnet Emotet te downloaden. Het derde aan Emotet gerelateerde malware-exemplaar, MSIL.Mensa.4, kan zich via aangesloten opslagapparaten verspreiden en was vooral gericht op netwerken in de VS. Uit gegevens van Threat Lab blijkt dat Emotet fungeert als de druppelaar, die het bestand downloadt en installeert vanaf een malware delivery server.

PowerShell-scripts voeren de boventoon bij snel toenemende endpoint-aanvallen:  Het totale aantal endpoint-detecties voor Q1 steeg met ongeveer 38% ten opzichte van het voorgaande kwartaal. Scripts, met name PowerShell-scripts, waren de dominerende aanvalsvector. Met 88% van alle detecties hebben scripts in hun eentje het aantal totale endpointdetecties duidelijk voorbij het cijfer van het vorige kwartaal geduwd. PowerShell-scripts waren verantwoordelijk voor 99,6% van de scriptdetecties in het eerste kwartaal, waaruit blijkt hoe aanvallers overstappen op bestandsloze en van het land levende aanvallen met legitieme tools. Hoewel deze scripts de duidelijke keuze van aanvallers zijn, laten de gegevens van WatchGuard zien dat andere bronnen van malware niet over het hoofd mogen worden gezien



Legitieme cryptominingactiviteiten in verband gebracht met kwaadaardige activiteiten:  Alle drie de nieuwe toevoegingen aan de lijst met topmalwaredomeinen in Q1 waren gerelateerd aan Nanopool. Dit populaire platform aggregeert cryptocurrency mining activiteiten om gestage rendementen mogelijk te maken. Deze domeinen zijn technisch gezien legitieme domeinen die gekoppeld zijn aan een legitieme organisatie. Verbindingen met deze mining pools vinden echter bijna altijd hun oorsprong in een bedrijfs- of onderwijsnetwerk van malware-infecties versus legitieme mining-activiteiten.

Bedrijven nog steeds geconfronteerd met een breed scala aan unieke netwerkaanvallen:  Terwijl de top 10 IPS-handtekeningen goed waren voor 87% van alle netwerkaanvallen; unieke detecties bereikten hun hoogste aantal sinds Q1 2019. Deze toename geeft aan dat geautomatiseerde aanvallen zich richten op een kleinere subset van potentiële exploits in plaats van alles in de gootsteen te proberen. Bedrijven hebben echter nog steeds te maken met een breed scala aan detecties.

EMEA blijft hotspot voor malwarebedreigingen:  Uit algemene regionale detecties van basis- en ontwijkende malware blijkt dat Fireboxen in Europa, het Midden-Oosten en Afrika (EMEA) harder werden getroffen dan die in Noord-, Midden- en Zuid-Amerika (AMER) met respectievelijk 57% en 22%, gevolgd door Azië-Pacific (APAC) met 21%.

De driemaandelijkse onderzoeksrapporten van WatchGuard zijn gebaseerd op geanonimiseerde Firebox Feed-gegevens van actieve WatchGuard Fireboxes waarvan de eigenaren ervoor hebben gekozen om gegevens te delen ter directe ondersteuning van de onderzoeksinspanningen van het Threat Lab. In Q1 heeft WatchGuard in totaal meer dan 21,5 miljoen malware-varianten (274 per apparaat) en bijna 4,7 miljoen netwerkbedreigingen (60 per apparaat) geblokkeerd. Het volledige rapport bevat details over aanvullende malware- en netwerktrends van het eerste kwartaal van 2022, aanbevolen beveiligingsstrategieën en belangrijke verdedigingstips voor bedrijven van elke grootte en in elke sector, en meer.

Voor een gedetailleerd overzicht van WatchGuard’s onderzoek, lees het volledige Q1 2022 Internet Security Report hier, of bezoek: https://www.watchguard.com/wgrd-resource-center/security-report-q1-2022