Analyse van 92 miljard afgewezen e-mails onthult een reeks eenvoudige en complexe aanvalstechnieken voor het laatste kwartaal van 2019.
RSA Conference 2020 - San Francisco - Emotet is terug met een knal en zorgt voor een piek van 145% in bedreigingsactiviteit gedurende het vierde kwartaal van 2019, rapporteren onderzoekers in een nieuwe analyse van 202 miljard e-mails van het afgelopen kwartaal. Van de geanalyseerde berichten werd 92 miljard afgewezen.
Het 'Mimecast Threat Intelligence Report: RSA Conference Edition' behandelt gegevens van oktober tot december 2019 en laat een mix van aanvallen zien, variërend van eenvoudige, goedkope dreigingen tot geavanceerde en gerichte campagnes. Aanvallers proberen bedrijfsslachtoffers te verrassen; dit blijkt uit de heropleving van Emotet-malware, die nu steeds agressiever wordt.
Dit is niet de eerste indicator die Emotet is opraken: Eerder dit jaar, onderzoekers van Cisco Talos gedetecteerd enige activiteit tegen Amerikaanse militaire domeinen, evenals domeinen van staats- en federale regeringen. De operators van de malware hebben naar verluidt accounts gehackt van ten minste één medewerker van de federale overheid en schadelijke spam naar de contactlijst van het slachtoffer gestuurd. Tegelijkertijd vonden analisten van Cofense een Emotet-campagne gericht op de Verenigde Naties.
De heropleving is nu een brandpunt van de bevindingen van Mimecast, die 61 belangrijke aanvalscampagnes in het laatste kwartaal van 2019 rapporteerden - een stijging van 145% in het afgelopen jaar. Emotet was een belangrijke motor in deze toename, zeggen onderzoekers, omdat het een component was in bijna elke geïdentificeerde aanval. Het op abonnementen gebaseerde malware-as-a-service-model maakt het toegankelijk voor een breder publiek.
Onderzoekers merkten op dat de operators van Emotet overschakelen van bestandsloze malware toen deze voor het eerst opnieuw op bijlage-gebaseerde aanvallen kwam. 'Ze proberen hun vaardigheden daarbij aan te scherpen', zegt Josh Douglas, vice-president bedreigingsinformatie bij Mimecast. 'Ze veranderen de dynamiek van hoe ze zich richten.'
Veel van de belangrijke campagnes die Emotet gebruikten, omvatten ransomware-detecties. Deze bevinding, zeggen onderzoekers, duidt op een grote kans dat aanvallers zich richten op de levering van ransomware, vooral gezien de aanvallen met ransomware in vorige kwartalen.
Bestandscompressie was het favoriete aanvalsformaat voor het laatste kwartaal van 2019; Onderzoekers zagen echter een toename van Emotet-activiteit via .doc- en .docx-bestandsindelingen. Gecomprimeerde bestanden zorgen voor een complexere en potentieel multimalware payload, leggen ze uit, maar ze bieden ook een eenvoudige manier om de werkelijke bestandsnaam van alle items in de container te verbergen.
De activiteit van Emotet viel samen met een toename van spam, een van de vier belangrijkste bedreigingscategorieën die in dit rapport worden geanalyseerd, samen met nabootsingsaanvallen, opportunistische aanvallen en gerichte aanvallen. Spam is een belangrijk middel voor het verspreiden van malware; het was vooral populair bij aanvallen op de legale, software / software-as-a-service- en banksector. Onderzoekers anticiperen het zal doorgaan als een populaire vector, gezien de kans dat iemand ervoor valt.
Imitatieaanvallen blijven ook effectief omdat aanvallers domeinen, subdomeinen, bestemmingspagina's, websites, mobiele apps en sociale mediaprofielen vervalsen om hun slachtoffers te manipuleren om inloggegevens en persoonlijke gegevens te delen. Management / consulting, juridisch en bankieren zijn de meest voorkomende industrieën voor imitatie-aanvallen, waarvoor detecties het afgelopen kwartaal met 5% daalden. Aanvallers gebruiken meer genuanceerde technieken zoals voicemail phishing om te slagen.
Onderzoekers zagen ook een verschil in de meer significante aanvallen van het laatste kwartaal. Bedreigingen waren gericht op een breder scala van bedrijven in verschillende sectoren, en voor kortere periodes dan in voorgaande kwartalen. Specifieke campagnes omvatten slechts een- of tweedaagse periodes, in tegenstelling tot campagnes met meerdere dagen die in het verleden werden ontdekt. Deze aanvallen vertonen een toename in het gebruik van kortstondige, grootschalige, gerichte en gehybridiseerde aanvallen op slachtoffers in alle sectoren.
Dat gezegd hebbende, de overgrote meerderheid van de aanvallen is minder complex en heeft een hoger volume. Dit is 'vrijwel zeker' een indicator voor een bredere toegang tot online kits die minder bekwame aanvallers kunnen gebruiken om aanvalscampagnes in te zetten, leggen onderzoekers uit in hun rapport.
Gerelateerde inhoud:
Kelly Sheridan is de stafredacteur bij Dark Reading, waar ze zich richt op nieuws en analyse op het gebied van cyberbeveiliging. Ze is een bedrijfstechnologiejournalist die eerder verslag deed van InformationWeek, waar ze verslag deed van Microsoft, en Insurance & Technology, waar ze financiële ... Bekijk volledige bio
Meer inzichten
