Nieuw rapport over cyberdreigingen onthult de opkomst van Emotet

Het Mimecast Threat Center heeft vandaag het Threat Intelligence Report: RSA Conference Edition gelanceerd. Daaruit blijkt dat het aantal aanvalscampagnes tussen oktober en december wereldwijd met 145% is toegenomen. Onderzoekers geloven dat de toename kan worden toegeschreven aan Emotet's hernieuwde activiteit na vier maanden van relatieve rust, in combinatie met de hogere activiteit van cybercriminelen als gevolg van het winkelseizoen voor de feestdagen. Van oktober tot december 2019 heeft het Mimecast Threat Center meer dan 202 miljard e-mails geanalyseerd en 92 miljard afgewezen.

De opkomst van Emotet

De meest opvallende observatie van het onderzoek van dit kwartaal is de wijdverspreide inzet van de Emotet "dropper" malware op een niet eerder vertoonde schaal, in alle regio's. Dit op abonnementen gebaseerde Malware-as-a-Service (MaaS)-model vergroot de mogelijkheid van eenvoudige aanvalsmethoden voor een breder publiek en houdt tegelijkertijd oudere, bekende malware in omloop.

Compromittering zakelijke e-mails toegenomen in 2019

Social engineering - meestal uitgevoerd via impersonatietactieken - blijft een effectieve tactiek voor dreigingsactoren. In heel 2019 is er sprake van een aanhoudende toename.

Uit de gegevens blijkt dat impersonatieaanvallen van juli tot september 26% van het totale aantal detecties uitmaakten, en dat het volume van deze aanvallen in die periode met 18% toenam. Van oktober tot december hebben dreigingsactoren zich in dit kwartaal echter weer gericht op de levering van malware via Emotet , wat kan hebben geleid tot de daling in voice phishing. Over het geheel genomen denkt het Threat Center dat zakelijke e-mailcompromittering/impersonatie in 2020 zal blijven groeien.

Wat heeft het dreigings centrum nog meer gevonden?

1. Bestandscompressie blijft een favoriete aanvalsindeling, maar de activiteit van Emotet via DOC- en DOCX-indelingen is aanzienlijk toegenomen. Gecomprimeerde bestanden maken een complexere, mogelijk multi-malware payload mogelijk, maar dienen ook als een zeer elementaire manier om de echte bestandsnaam te verbergen van alle items die zich in de container bevinden. Het ZIP-formaat voor bestandscompressie domineerde het aantal detecties - ongeveer 3 miljoen gedurende het kwartaal. Elke beschikbare vorm van bestandscompressie-indeling blijft het aantrekkelijkst voor bedreigers.
2. Het is zeer waarschijnlijk dat dreigingsactoren door zich te concentreren op Emotet hun inspanningen in belangrijke mate richten op pogingen om ransomware te leveren. Emotet is een effectieve dropper van andere malware omdat het modulair van aard is en een verscheidenheid aan payloads kan leveren. Bij een aantal belangrijke campagnes met Emotet is ransomware gedetecteerd en het is zeer waarschijnlijk dat dreigingsactoren zich richten op de levering van ransomware. Officiële adviezen van de Amerikaanse, Britse en Canadese cybercentra sinds juni 2019 hebben ook de bijzondere dreiging benadrukt die Emotet vormt bij de gerichte levering van ransomware.
3. Specifieke sectoren zijn herhaaldelijk het doelwit, maar de campagneactiviteit neemt toe als gevolg van het vakantieseizoen. De topsectoren voor aanvallen wereldwijd zijn Transport, Opslag en Levering, Financieel: Bankieren, en de Professionele Diensten: Legal sectoren. Deze drie sectoren zijn gedurende heel 2019 het onderwerp gebleven van hoge aanvalsniveaus, hoewel de sectoren Transportation, Storage and Delivery evenals de Retail and Wholesale dit kwartaal onevenredig veel werden aangevallen, goed voor bijna een derde van de meest significante wereldwijde campagneactiviteit. Gezien de feestdagen waarin cadeaus worden gegeven, is een groot deel van deze toename echter te verwachten.
4. Hoewel het aantal aanvallen door imitatie iets is afgenomen, blijven ze een belangrijke aanvalsvector. Impersonatieaanvallen omvatten nu een reeks spraakberichten en een over het algemeen minder dwingende vorm van communicatie, die zich voordoet als een meer genuanceerde en overtuigende bedreiging. Het is zeer waarschijnlijk dat impersonatie is afgenomen als gevolg van de focus van dreigingsactoren op de levering van malware om de monetaire successen van ransomwareaanvallen in 2019 uit te buiten.
5. De overgrote meerderheid van de aanvallen zijn opnieuw minder gesofisticeerde aanvallen met een hoog volume, hoewel er complexere aanvallen voorkomen die zich over een periode van meerdere dagen kunnen uitstrekken. Dit is vrijwel zeker een weerspiegeling van het feit dat iedereen steeds gemakkelijker toegang heeft tot online-instrumenten en kits om een cyberaanval te lanceren, met name de terugkeer van Emotet als een betaalde dienst. De trend weerspiegelt ook de uitdagingen van menselijke fouten - zelfs de eenvoudigste aanvallen kunnen succesvol zijn. Naarmate de aanvallen vorderen, veranderen de exploits en worden er krachtigere vormen van malware en ransomware toegevoegd.

Lees het volledige rapport om meer te weten te komen over de impact van deze aanvalscampagnes op uw regio of uw sector.