Flinke toename ransomware: +165% ​in Q1 2015

Eerder dit jaar zijn er al een heel aantal Nederlandse slachtoffers geweest van Ransomware. Uit een nieuw rapport van Intel Security blijkt dat dit geen toeval is. In het eerste kwartaal va dit jaar zagen de onderzoekers van McAfee Labs het aantal nieuwe ransomware varianten met 165% stijgen.

Een stijging die grotendeels te danken is aan de nieuwe, moeilijk te detecteren CTB-Locker ransomware familie. Het succes hiervan is te danken aan slimme technieken om detectie door beveiligingssoftware te omzeilen. Verder wordt de kwaliteit van phishing mails steeds beter, waardoor ze moeilijker te onderscheiden zijn van legitieme e-mails.

Wat hier verder niet aan meehelpt is dat er nu ook een ‘afilliate’ programma is dat medeplichtigen een percentage biedt van de ransomware betalingen, in ruil voor het verzenden van grote hoeveelheden phishing berichten die een link naar CTB-Locker bevatten.

Nieuw

Daarnaast werden er een aantal nieuwe ransomware genaamd ‘TeslaCrypt’ nieuwe versies van CryptoWall, TorrentLocker en BandaChor ransomware gedetecteerd.

Andere bedreigingen en trends

• Flash-malware – In het eerste kwartaal is de hoeveelheid malware die zich richt op kwetsbaarheden in Adobe Flash met 317% toegenomen. Volgens de onderzoekers heeft dit verschillende oorzaken: de populariteit van Adobe Flash en het feit dat veel gebruikers beveiligingspatches niet direct installeren. Daarnaast zijn er nieuwe methodes om misbruik te maken van kwetsbaarheden, is er een sterke toename van het aantal mobiele toestellen dat Adobe Flash-bestanden kan afspelen, en blijkt het moeilijk om sommige Adobe Flash-exploits te detecteren. Onderzoekers zien dat de ontwikkelaars van exploit kits hun focus verleggen, van kwetsbaarheden in Java archive en Microsoft Silverlight naar kwetsbaarheden in Adobe Flash.
• Harddisk- en SSD-malware – In februari 2015 werd ontdekt dat een geheime organisatie genaamd ‘Equation Group’ op zoek was naar methodes om kwetsbaarheden in de firmware van harddisks te misbruiken. Na onderzoek kwam men tot de conclusie dat deze ook gebruikt konden worden om de firmware van SSD’s te herprogrammeren. Van de firmware van harddisks was al bekend dat deze hiermee opnieuw geprogrammeerd konden worden. Eenmaal geherprogrammeerd, kan harddisk- en SSD-firmware misbruikt worden om malware te laden, iedere keer dat een systeem wordt gestart. Zelfs wanneer de drives opnieuw worden geformatteerd of het besturingssysteem opnieuw wordt geïnstalleerd, blijft de malware aanwezig. Beveiligingssoftware is niet in staat om de malware die op deze manier is opgeslagen op een verborgen deel van de drive, te detecteren.
• Groei van PC-malware – In het eerste kwartaal is het aantal nieuw ontdekte PC-malware varianten iets afgenomen. Dit is vooral te wijten aan het feit dat een specifieke vorm van adware – SoftwarePulse – in Q4 van 2014 een piek beleefde. In Q1 van dit jaar keerde het activiteitsniveau van deze adware terug naar een ‘normaal’ niveau. De totale verzameling malware die door McAfee Labs wordt bijgehouden, groeide in Q1 met 13 procent en bevat nu 400 miljoen varianten.
• Mobiele malware – Het aantal malware varianten dat zich richt op mobiele toestellen nam in Q1 met 49 procent toe ten opzichte van Q4 2014.
• SSL-aanvallen – SSL-aanvallen zetten in Q1 door, hoewel het aantal aanvallen iets afnam ten opzichte van Q4 2014. Dit is waarschijnlijk het gevolg van updates voor SSL libraries, die een groot aantal kwetsbaarheden verhelpen. Er worden nog altijd veel ‘Shellshock’ aanvallen waargenomen.
• Spam botnets – De Dyre, Dridex en Darkmailer3. Slenfbot botnets hebben het stokje overgenomen van Darkmailer2 als de top spamnetwerken.