Ransomware aanvallen wereldwijd verdubbeld in tweede helft 2016

Eef Leroy
Persbericht

Check Point Software Technologies (Nasdaq: CHKP) publiceert zijn H2 2016 Global Threat Intelligence Trends Report, waaruit blijkt dat het aantal ransomware-aanvallen wereldwijd is verdubbeld in de tweede helft van 2016. Van alle geverifieerde malware-incidenten wereldwijd, is het percentage ransomware-aanvallen toegenomen van 5,5 procent tot 10,5 procent tussen juli en december 2016.

Het H2 2016 Global Threat Intelligence Trends Report belicht de belangrijkste methoden die cybercriminelen gebruiken om organisaties aan te vallen en geeft daarnaast een gedetailleerd overzicht van het dreigingslandschap in de belangrijkste malware-categorieën - ransomware, banking en mobile. Het rapport is gebaseerd op data van Check Point's ThreatCloud World Cyber Threat Map tussen juli en december 2016.

Belangrijkste trends

- Het monopolie op de ransomware-markt – In 2016 werden duizenden nieuwe ransomware-varianten ontdekt. De laatste maanden van het jaar was er een verandering in het ransomware-landschap te zien, dat meer en meer gecentraliseerd werd. Enkele belangrijke malware-families domineerden dit landschap en troffen organisaties van verschillende bedrijfsgroottes.
- DDoS-aanvallen via IoT-apparaten – In augustus 2016 werd het beruchte Mirai Botnet - de eerste van zijn soort - ontdekt. Het Internet of Things-botnet valt kwetsbare apparaten aan die verbonden zijn met het internet, zoals digitale videorecorders (DVR) en beveiligingscamera's (CCTV). Het verandert de apparaten in bots en gebruikt ze vervolgens om meerdere high-volume DDoS-aanvallen uit te voeren. Het is nu duidelijk dat kwetsbare IoT-apparaten in nagenoeg ieder huis worden gebruikt. Grootschalige DDoS-aanvallen die hierop gebaseerd zijn zullen alleen maar toenemen.
- Nieuwe bestandsextenties gebruikt in spam-campagnes – De meest voorkomende infectievector die in H2 2016 gebruikt werd in kwaadaardige spam-campagnes, waren downloaders gebaseerd op Windows Script Engine (WScript). Downloaders geschreven in Javascript (JS) en VBScript (VBS) domineerden het mal-spam distributieveld, samen met soortgelijke maar minder bekende formaten als JSE, WSF en VBE.

Top malware

Conficker (14,5 procent) - Worm die activiteiten op afstand en malware downloads mogelijk maakt. De geïnfecteerde machine wordt beheerd door een botnet dat zijn instructies uit een Command & Control-server haalt.
Sality (6,1 procent) - Virus dat activiteiten op afstand en downloads van additionele malware mogelijk maakt door de beheerder. Het voornaamste doel is in een systeem te blijven en te voorzien in middelen voor bediening op afstand en nog meer malware te installeren.
Cutwail (4,6 procent) - Botnet dat vooral betrokken is bij het versturen van spam-mails, evenals DDoS-aanvallen. Eenmaal geïnstalleerd, maken de bots direct verbinding met de Command & Control-server en ontvangen ze instructies over de mails die zij moeten versturen. Als zij klaar zijn met hun taak, rapporteren de bots statistieken naar de spammer.
JBossjmx (4,5 procent) - Worm die zich richt op systemen waarop een kwetsbare versie van JBoss Application Server is geïnstalleerd. De malware creëert een kwaadaardige JSP-pagina op kwetsbare systemen die willekeurige commando's uitvoert. Daarnaast wordt nog een backdoor gecreëerd die commando's van een remote IRC-server accepteert.
Locky (4,3 procent) - Ransomware die voor het eerst in februari 2016 werd gedistribueerd en zich met name verspreid via spam-mails die een downloader in de bijlage bevatten in de vorm van een Word- of zip-bestand. Deze downloadt en installeert de malware die de bestanden van de gebruiker versleutelt.

Top ransomware

Van alle erkende aanvallen wereldwijd is het percentage ransomware-aanvallen in de tweede helft van 2016 bijna verdubbeld van 5,5 procent naar 10,5 procent. De meest voorkomende varianten die zijn gevonden, zijn:

Locky (41 procent) - De derde meest voorkomende ransomware in de eerste helft van 2016, waarvan aanvallen in de tweede helft van het jaar enorm zijn toegenomen.
Cryptowall (27 procent) - Ransomware die begon als een Cryptolocker-dubbelganger, maar deze uiteindelijk heeft overtroffen. Nadat Cryptolocker werd neergehaald, is Cryptowall uitgegroeid tot één van de meest prominente ransomwares van dit moment. Cryptowall staat bekend om zijn AES-encryptie en om C&C-communicatie over het anonieme Tor-netwerk. Het wordt verspreid via exploit kits, malvertising en phishing-campagnes.
Cerber (23 procent) - 's Werelds grootste ransomware-as-a-service campagne. Cerber is een franchise-campagne waarbij de ontwikkelaar partners werft om de malware te verspreiden voor een deel van de winst.

Top mobiele malware

Hummingbad (60 procent) - Android malware die als eerste onthuld werd door het Check Point-onderzoeksteam. De malware plaatst een persistente rootkit op het device, installeert frauduleuze applicaties en kan, met enige aanpassingen, aanvullende kwaadaardige activiteiten mogelijk maken zoals het installeren van een key-logger, het stelen van gegevens en het omzeilen van versleutelde mail-containers van organisaties.
Triada (9 procent) - Modulaire Backdoor voor Android die superuser-rechten verleent aan gedownloade malware en helpt deze in systeemprocessen te integreren. Triada spooft ook URL's die in de browser geladen zijn.
Ztorg (7 procent) - Trojan die root-privileges gebruikt om applicaties te downloaden en deze installeren op de mobiele telefoon, zonder dat de gebruiker hiervan op de hoogte is.

Top banking malware

Zeus (33 procent) - Trojan die zich richt op Windows-platformen en vaak gebruikt wordt om bankgegevens te stelen door man-in-the-browser keystroke-logging en form grabbing.
Tinba (21 procent) - Banking Trojan die de gegevens van slachtoffers steelt met behulp van web-injects die geactiveerd worden zodra de gebruiker probeert in te loggen op de website van zijn bank.
Ramnit (16 procent) - Banking Trojan die bankgegevens, FTP-wachtwoorden, sessie-cookies en persoonlijke data steelt.

"Het rapport laat de aard van de moderne cyber-omgeving zien, waarbij ransomware-aanvallen snel groeien. Dit komt simpelweg doordat dergelijke aanvallen succesvol zijn en aanzienlijke inkomsten genereren voor aanvallers. Organisaties worstelen om effectief met deze dreiging om te gaan: veel bedrijven beschikken nog niet over de juiste verdediging. Daarnaast hebben zij hun werknemers niet goed genoeg getraind in het herkennen van de tekenen van een potentiële ransomware-aanval bij binnenkomende mails", aldus Maya Horowitz, Threat Intelligence Group Manager bij Check Point.

"Onze data laat verder zien dat een klein aantal malware-families verantwoordelijk is voor de meerderheid van de aanvallen, terwijl duizenden andere malware-families zelden worden gezien", gaat Horowitz verder. "De meeste cyberdreigingen zijn wereldwijd en cross-regionaal."

De statistieken in dit rapport zijn gebaseerd op data van de ThreatCloud World Cyber Threat Map. Dit is Check Point's grootste samenwerkingsverband om cybercrime tegen te gaan en levert de meest recente dreigingsdata en cyberaanval-trends via een wereldwijd netwerk van dreigingssensoren. De ThreatCloud-database identificeert dagelijks miljoenen malware-types en bevat meer dan 250 miljoen adressen die geanalyseerd zijn voor bot discovery, evenals 11 miljoen malware signatures en 5,5 miljoen geïnfecteerde websites.

Lees hier het volledige rapport en de Engelstalige blogpost met meer informatie.

Webdesign Desk02