Detta är en kortare artikel som sammanfattar Proofpoints kvartalsrapport (Q3 2018) och deras bild av hotlandskapet.

Nyckelinsikter

  • E-post fortsätter vara den tveklöst mest populära metoden för att sprida skadlig kod. Pendeln svänger mot skadliga länkar istället för skadliga filer.
  • Trojaner som är ute efter bank-uppgifter dominerar den skadliga koden, 46% där Panda Banker och Emotet står för 90% av dessa.
  • Aktörer lägger kraft och energi på att få sina program mindre både i storlek och funktion vilket gör dem svårare att upptäcka. Första ”leveransen” av skadlig kod används för ett initialt fotfäste och sedan för att ladda ner den faktiskt payloaden.
  • Bedrägerier över e-post har också ökat, och många gånger är det företagens egna domäner som används mot dem själva. Enkla åtgärder kan förhindra sådant missbruk

Bias i rapportens siffror

Tänk på följande när siffrorna beaktas:

Vi vet dessvärre lite om distributionen av kunderna och hur representativt urvalet är. Det går att göra någorlunda kvalificerade antaganden om hur skadliga meddelanden distribueras över världen, men ändock… vi vet inte hur Proofpoints kunder påverkar denna distribution.

Vi ser det Proofpoint ser och de ser definitivt inte allt. Bara för att Proofpoint säger att exempelvis social engineering är den dominerade faktorn på webbaserade angrepp betyder det inte att det är så. Om Proofpoint har fokuserat på att upptäcka sådana typer av angrepp och är begränsade i att upptäcka andra typer så kommer de givetvis se det de kan se. Kanske slår jag in öppna dörrar, men värt att nämna oavsett.

Anteckningarna från rapporten

Detta är mina tämligen ofiltrerade anteckningar från rapporten som någon kanske fattar tycke för eller finner intressanta.

RapportenDenna analys avser i huvudsak den globala utvecklingen och får antas kunna tillämpas även på Sverige i någon rimlig utsträckning.
Modus:
E-post
E-post är tveklöst den populäraste vektorn för distribution av malware och phishing. Pendeln svänger idag mot skadliga URL:er framför bifogade filer. Kraftig ökning under september av skadliga meddelanden, oklart om detta är en trend.
Modus:
E-post
E-post baserad fraud har ökat avsevärt. I hälften av alla identifierade fall handlar det om att organisationens egna domän har spoofats för att genomföra angreppet mot de egna anställda. Något som givetvis hade kunnat förhindras genom SPF-regler.
Trend:
Skadlig kod / Ransomware
Ransomware fortsätter att minska i omfattning, men istället har RATs ökat till det dubbla i jämförelse med tidigare kvartal, de står dock fortfarande endast för 4% av den totala mängden meddelanden.
I siffror:
Skadlig kod / Banking trojans
Banking trojans står för 46% av alla skadliga payload, där 90% av dessa är antingen Emotet eller Panda Banker.
I siffror:
Skadlig kod / Downloaders
Downloaders och Stealers står för 48% av alla skadliga payloads vilket jämfört med Q3 2017 var endast på 11%, när istället Ransomware stod väldigt högt på listan.
Trend:
Stealth focused
Proofpoint noterar att det är ett relativt tydligt skifte mot Downloaders och Stealers som blir allt mindre i storlek och funktion. Aktörer försöker i allt större utsträckning göra sina skadliga program svårare att upptäcka och mer fokuserade på ett initialt infektionssteg som också tjänar som initial recon innan nya payload laddas ner.
Trend:
Web/Social engineering/Cryptojacking
Web-baserade angrepp fortsätter domineras av sociala angrepp. Coinhive och andra former av skadlig cryptojacking ökar explosionsartat.

En liten parantes på ovan anteckningar är att jag använder en slags variant av Cornell anteckningsmetod. Värt att studera om ni är intresserade av bra studietekniker eller metoder för att föra anteckningar.