Het Unit 42-onderzoeksteam van Palo Alto Networks rapporteert over de malware-trends die het in 2022 en begin 2023 gezien heeft. De opkomst van ChatGPT heeft tot een explosie van imitatiepogingen en websiteregistraties geleid met als doelstelling om de AI-hype te gebruiken, veelal ter misleiding. Ook ziet men dat er veel meer exploitaties van kwetsbaarheden voorkwamen in 2022 ten opzichte van het jaar ervoor.
Het nieuwe Network Threat Trends-onderzoekrapport geeft goed weer dat er steeds meer zorgen over bestaande fouten in software-code dienen te zijn. In 2022 waren er volgens Unit 42 namelijk 55 procent meer exploitaties van kwetsbaarheden in software dan in 2021. Deze groei is al in 2019 ingezet. Zoals we eerder hadden bericht, blijft Log4Shell ons achtervolgen. Voor de totstandkoming van die analyse was het research-team bij Palo Alto Networks eveneens bereid om inzicht te geven in deze kwetsbaarheid. Niet alleen recente problemen zorgen voor malware-injecties. Oude kwetsbaarheden die vaak al lang een patch beschikbaar hebben, blijven hardnekkig aanwezig. Unit 42 stipt inadequaat patchen bij organisaties aan, maar ook een gebrek aan duidelijke verantwoordelijkheid bij software-vendors.
PDF’s populair
Wie niet gebruik wil maken van een software-fout, kan altijd met wat overtuigingskracht per mail iemand oplichten. Hoewel er volgens Unit 42 aardig wat ‘social engineering’ nodig is om een verdachte mail te verhullen, kunnen kwaadwillenden via nep-PDF’s slagen. 66 procent van e-mailinfecties gebruikt dit bestandstype. Dit tegenover 9,79 procent .exe-bestanden, maar ook 7,85 procent .xls en 6,47 procent .xlsx (Excel). Met andere woorden, mensen moeten opletten als ze een PDF tevoorschijn zien komen vanuit een verdachte bron.
Andere voortzettingen van bestaande trends zijn de populariteit van remote code execution, waarbij exploitaties via een aantal stappen kunnen leiden tot infiltratie en vergevorderde aanpassingen aan interne infrastructuur. Ook het aanvallen van cloud-workloads en IoT-devices valt op, waarbij 47,3 procent van de aanvallers erop uit zijn om een botnet te installeren. 21,6 procent wil cryptomining via een coinminer activeren, terwijl 11,1 procent voor een backdoor bedoeld is.
Een opvallende stijging vinden we bij OT-aanvallen, dus op kritieke infrastructuur zoals productie, watertoevoer of energiebedrijven. Deze soort aanvallen steeg met een duizelingwekkende 238 procent ten opzichte van 2021.
En AI?
Een daadwerkelijk nieuwe trend komt voort uit de AI-hype omtrent ChatGPT. We zagen al eerder dat ChatGPT als handlanger wordt ingezet bij cybercrime om bijvoorbeeld geloofwaardige e-mailteksten te genereren. Aangezien de hype rondom AI pas echt eind 2022 van start ging, besloot Unit 42 om vanaf november 2022 tot april 2023 te kijken naar de malware-ontwikkelingen op dit gebied. Domeinregistraties die vaak AI-diensten als ChatGPT imiteren, zijn in die tijd met 910 procent geëxplodeerd. Echter gaat het hier niet alleen om kwaadaardige doeleinden. Het omvat ook zogeheten ‘grayware’, zoals adware, spyware en programma’s die de gebruiker zelf niet wilde installeren. Nog altijd kwalijk, maar de ernst ervan verschilt enorm. Hoewel het torenhoge percentage dus reden tot zorg geeft, is de impact van AI wat malware betreft nog niet helemaal gekristalliseerd.
Lees ook: 9 miljoen Android-apparaten bevatten vooraf geïnstalleerde malware