Malware in België: klikken op exe’s en cmd’s populair

De aard van malware en cyberaanvallen is de laatste jaren flink veranderd. Aan globale cijfers geen gebrek, maar nu komt Check Point met een volledig op België gericht rapport. Daaruit blijkt dat ons land de trends vaak volgt, maar niet altijd.

In de periode van begin augustus 2019 tot eind januari 2020 werden organisaties in België over het algemeen iets minder aangevallen door malware en cybercriminelen dan het wereldwijde gemiddelde. Bedrijven in ons land kampten toen met tussen de 200 en de 550 aanvallen per maand, waar de wereldwijde piek op 650 ligt. Dat blijkt uit cijfers die beveiligingsspecialist Check Point in de marge van de CPX-conferentie in Wenen met Techzine deelde.

Emotet-paard

Emotet blijft het populairste stukje malware. Emotet is een trojaans paard dat geboren werd als banking-malware, maar sindsdien als vector wordt ingezet om allerhande types malware te verspreiden. De kwaadaardige software verspreid zich voornamelijk via phishing-links en was goed voor 11 procent van de gedetecteerde aanvallen in België. Vergelijken we dat cijfer met de rest van de wereld, dan zien we dat ons land opnieuw iets beter scoort. 13 procent van de aanvallen wereldwijd gebeurde met Emotet.

Emotet blijft het populairste stukje malware

Dat de impact bij ons iets lager ligt, is een symptoom van een breder verschil met de wereldwijde trends. Op wereldschaal komt 66 procent van de malware binnen via mail. Denk daarbij aan phishing of mails met malafide bijlages. 34 procent van de virussen baant zich via het web een weg naar het toestel van een slachtoffer. In ons land is die verdeling opvallend anders. Het web is de grootste bron van malware, verantwoordelijk voor 53 procent van de aanvallen, mail is goed voor 47 procent.

Malware in Word-bestanden

De bestanden waarmee aanvallers ons land viseren, zijn ook anders van aard. Kijken we naar infecties via mail, dan zien we dat Word-bestanden de populairste vector zijn. 47,7 procent van de aanvallen probeert de payload in een Word-bestand te verstoppen. Logisch: dergelijke bestanden komen vertrouwd over en het feit dat ze kwaadaardige code kunnen bevatten, is onvoldoende gekend.

Bewustmaking kan daarbij helpen. Besef bijvoorbeeld dat Office bestanden afkomstig van het web met een reden opent met beperkte toegang. Zo krijgt code, zoals kwaadaardige macro’s, niet de kans om een payload de importeren.

Exe en cmd

Het ziet er echter naar uit dat ons land pijnlijk achterophinkt wat een besef van kwaadaardige bestanden in mails betreft. 47,6 procent van de aanvallen maakte in januari gebruik van exe-bestanden. Wie dubbelklikt op een uitvoerbaar bestand dat hij of zij per mail heeft ontvangen, verdient het om met de ezelsoren op een kwartier in de hoek te gaan staan. De vuistregel hier is eenvoudig: open dergelijke bestanden nooit. We kunnen ons maar weinig scenario’s inbeelden waarin een exe-bestand voor legitieme doeleinden per mail gedeeld wordt. Ter vergelijking: wereldwijd scoren executables 22,8 procent.

Ook op het web is de voorkeursvector voor de verspreiding van malware in ons land atypisch. 55,4 procent van de door Check Point in kaart gebrachte aanvallen vertrok in de eerste maand van 2020 vanuit een bestand met de cmd-extensie. Dergelijke batch-bestanden kunnen krachtige commando’s bevatten die zeker met de juiste rechten heel wat schade kunnen aanrichten op een systeem en autonoom nieuwe malware kunnen binnenhalen.

Open geen cmd-bestanden.

Ook hier is de regel eenvoudig: open geen cmd-bestanden. Tenzij je het bestand zelf hebt aangemaakt en je goed weet welke code erin zit, is er maar weinig reden om er ooit op te dubbelklikken. Verrassend genoeg zijn de intenties van batchbestanden snel te achterhalen: je kan er rechts op klikken en ze openen met kladblok om hun inhoud te bekijken. Wereldwijd maakt slechts 2,3 procent van de aanvallen van cmd-bestanden gebruik. Dll is dan weer een universeel misbruikte extensie (29,8 procent bij ons, 33,3 procent wereldwijd).

De Bitcoinkoers

De types aanvallen liggen dan weer wel in lijn met wat er gebeurt op wereldschaal. Data stelen blijft een populair doel, net als het uitvoeren van kwaadaardige code.

De populariteit van cryptominers biedt een interessant inzicht. Eerst en vooral zijn aanvallen waarbij malware een systeem misbruikt om cryptomunten te minen bij ons iets minder populair dan wereldwijd, in lijn met het totale aantal aanvallen. Ze volgen echter wel dezelfde lijn. Daaruit kan je duidelijk aflezen dat de koers van cryptomunten de populariteit van de aanvallen aanstuurt. De koers en de populariteit volgen een gelijkaardige grafiek waarbij cryptomalware telkens een maandje achter de feiten aanholt.

Cryptominers zijn bij ons iets minder populair dan gemeten op wereldschaal.
Vergelijk nu de curve van de aanvallen met de koers van Bitcoin (via Coinmarketcap).

Een laatste opvallende trend is de stijging van de populariteit van banking-aanvallen. Die kennen wereldwijd een lichte stijging, maar hun impact blijft beperkt tot om en bij de vijf procent van de organisaties. In België steeg de impact van dergelijke aanvallen van rond de twee procent in augustus tot bijna vijf procent eind januari.

Goede beveiliging

De cijfers tonen aan dat ons land over het algemeen iets minder geviseerd wordt. De manier waarop aanvallen plaatsvinden, illustreert dat er quick wins mogelijk zijn. Dat een exe-bestand via mail een vector is die kans maakt om een systeem succesvol te infecteren, is eigenlijk hallucinant.

Zoals altijd is bewustmaking in training van werknemers belangrijk om de kans op een succesvolle aanval te verkleinen. Verder zorg je best voor adequate beveiliging die ook het bedrijfsnetwerk monitort, en dien je alles zo goed mogelijk up-to-date te houden. Dat verkleint de kans dat malware voet aan grond krijgt, zelfs wanneer die ene werknemer het toch een goed idee vond om een cmd-bestand uit te voeren.

Op de CPX-conferentie, die begin februari plaatsvond in Wenen, sprak Techzine nog met Gil Shwed: de CEO en oprichter van Check Point, en de uitvinder van de moderne firewall. Hoewel de securitywereld snel verandert, zijn vandaag nog dezelfde principes van kracht als 30 jaar geleden, meent hij. Lees het volledige stuk hier: Van de eerste firewall tot AI-beveiliging: wat verandert en wat blijft