WatchGuard Technologies heeft in een onderzoek kunnen aanwijzen dat 67% van afgeleverde malware, in het eerste kwartaal van 2020, via versleutelde https-verbindingen verliep. De https-inspectie detecteerde deze bedreigingen, die anders niet waren ontdekt. Het gaat bij 72% van deze versleutelde malware om ‘zero day-malware’ die geen antivirus signature hebben. Veel antivirusoplossingen zullen de malware niet herkennen zonder deze handtekening.

Door: Jouri Altorf

‘Meerderheid malware is onzichtbaar zonder https-inspectie’

Volgens WatchGuard zijn securityoplossingen met https-inspectie en geavanceerde malwaredetectie op basis van gedrag cruciaal om deze vorm van malware te bestrijden. Volgens Corey Nachreiner, CTO bij WatchGuard, moeten bedrijven zo snel mogelijk https-inspectie instellen ondanks het extra werk dat daarbij komt kijken. “Het is simpelweg geen optie meer om verkeer ongeïnspecteerd door te laten. Malware wordt steeds geavanceerder en moeilijker te detecteren. De enige betrouwbare verdediging bestaat uit een reeks gelaagde securitydiensten, waaronder geavanceerde threat detection en https-inspectie.”

Bitcoin niet meer populair bij criminelen
De beveiligingsfirma kwam er ook achter dat ransomware nog steeds populair is onder hackers, maar dat bitcoin langzamerhand terrein begint te verliezen. In plaats van bitcoin kiezen veel cybercriminelen steeds vaker voor monero, een cryptocurrency die vaak wordt beschreven als volledig anoniem en onvindbaar.

Vijf van de top tien domeinen die malware hebben verspreid in het eerste kwartaal van 2020 werden ingezet voor het hosten of aansturen van monero-cryptominers. Een mogelijke verklaring is dat de toevoeging van een cryptominingmodule voor cybercriminelen een simpele manier is om geld te verdienen.

Populaire malware
Op de lijst van meest gedistribueerde malware staan nu ook Flawed-Ammyy en Cryxos die zich voornamelijk richt op mensen in Hongkong. Cryxos wordt aangeleverd als email-bijlage en is vermomd als factuur en vraagt gebruikers om hun mail en wachtwoord in te voeren, waarna deze worden opgeslagen. In het geval van Flawed-Ammyy doet een aanvaller zich voor als een medewerker die technische ondersteuning biedt en via het Ammy Adminsoftware krijgt de aanvaller vervolgens toegang tot de computer van het slachtoffer.

 

Lees het artikel in zijn volledigheid hier terug