McAfee Labs Q4 2013-rapport onthult methodes die gebruikt zijn voor bekende datadiefstallen

McAfee presenteert het nieuwe McAfee Labs Threats Report Fourth Quarter 2013, dat laat zien welke rol de ‘dark web’ malwareindustrie eind 2013 heeft gespeeld bij aanvallen op de kassasystemen (Point-of-Sale – POS – systemen) in winkels en de daarop volgende datadiefstal. Het rapport benadrukt het toenemende gemak waarmee POS-malware online kan worden ‘besteld’. Ook het online verkopen van gestolen creditcardnummers en andere persoonlijke informatie van consumenten blijkt steeds eenvoudiger te worden. Een andere verontrustende trend die zich in Q4 doorzette, is de toename van malware die is gesigneerd met een digitaal echtheidscertificaat. Deze vorm van malware is in Q4 2013 verdriedubbeld, vooral door misbruik van geautomatiseerde Content Distribution Networks (CDN’s), die kwaadaardige code verpakken in digitaal gesigneerde, legitieme installatieprogramma’s. Volgens McAfee Labs kan deze toenemende trend een reële dreiging worden voor het vertrouwde certificate authority (CA) model, waarmee software wordt voorzien van een digitaal ‘veilig’ stempel.

Uit gedetailleerd onderzoek van de bekende diefstallen van creditcardnummers in Q4, blijkt dat de POS-malware die bij deze aanvallen is gebruikt, gebaseerd was op relatief eenvoudige technologieën die waarschijnlijk kant-en-klaar online zijn gekocht via de ‘Cybercrime-as-a-Service’-gemeenschap. Daarna is de malware aangepast voor deze specifieke aanvallen. Uit verder onderzoek door McAfee Labs naar ondergrondse ‘dark web’-markplaatsen, blijkt dat gestolen creditcardnummers daar te koop worden aangeboden, evenals andere persoonlijke informatie die is buitgemaakt tijdens de retailinbraken in Q4. Zo werden ongeveer 40 miljoen gestolen creditcardnummers aangeboden, in partijen van 1 miljoen tot 4 miljoen exemplaren.

“Het vierde kwartaal van 2014 zal herinnerd worden als een periode waarin heel veel mensen ineens concreet te maken kregen met cybercriminaliteit”, zegt Vincent Weafer, senior vice president McAfee Labs. “Deze cyberdiefstallen vonden plaats op een moment waarop de meeste mensen bezig waren met hun inkopen voor de feestdagen en de industrie juist wilde zorgen dat mensen hun aankopen veilig en met vertrouwen konden verrichten. De impact van deze aanvallen zal zowel in de huiskamer als in de boardroom voelbaar zijn. Voor beveiligingsspecialisten betekent het ‘kant-en-klare’ karakter van deze criminele activiteiten, de schaal van de campagnes en het gemak waarmee gestolen informatie verkocht kan worden, dat zowel cybercrime-as-a-service als het ‘dark web’ nu echt volwassen zijn geworden.”

Door software te voorzien van een digitaal ‘echtheidscertificaat’ wordt de identiteit van de ontwikkelaar gevalideerd en wordt tevens de garantie gegeven dat er sinds de uitgifte van het digitale certificaat niet met de software is geknoeid. Aan de hand van deze certificaten wordt vervolgens bepaald of een softwaretoepassing al of niet toegestaan mag worden op een systeem of een netwerk. Daarbij wordt er vanuit gegaan dat aldus gesigneerde software veilig en legitiem is. Door malware te voorzien van vervalste of gesloten certificaten, lijkt het dus dat deze legitiem is. Eind 2013 was in de McAfee-database het aantal malwarevarianten met een digitaal certificaat verdrievoudigd, tot ruim 8 miljoen verdachte samples. Alleen al in het vierde kwartaal werden door McAfee ruim 2,3 miljoen nieuwe varianten gevonden: een toename van 52% ten opzichte van Q3.

Onder malware met een digitaal certificaat bevinden zich varianten met gestolen, gekochte of misbruikte certificaten. Maar de voortdurende groei van deze vorm van malware is vooral te danken aan dubieuze Content Distribution Networks (CDN’s). Het gaat dan om websites en organisaties die het voor ontwikkelaars mogelijk maken om een applicatie te uploaden of een URL te nemen die verwijst naar een externe applicatie, en deze vervolgens te ‘verpakken’ in een installatieprogramma dat is voorzien van een legitiem digitaal certificaat.

Het team van McAfee Labs waarschuwt ervoor dat de sterke toename in malware met digitale certificaten kan zorgen voor onzekerheid onder gebruikers en beheerders. Het kan er zelfs toe leiden dat de levensvatbaarheid van het CA-model voor het signeren van code in gevaar komt. “Hoewel de ontwikkeling van de CA- en CDN-industrieën ertoe hebben bijgedragen dat de kosten voor het ontwikkelen en distribueren van software aanzienlijk zijn verlaagd, zijn daarmee ook de kwaliteitsstandaarden voor het identificeren van de uitgever drastisch afgenomen”, zegt Weafer. “We moeten meer gaan vertrouwen op de reputatie van de vendor die een bestand signeert, dan puur op de aanwezigheid van een digitaal certificaat.”

• Mobiele malware – McAfee Labs heeft in 2013 in totaal 2,47 miljoen nieuwe varianten van mobiele malware verzameld, waarvan 744.000 in Q4. Ten opzichte van 2012 is de collectie van mobiele malware met maar liefst 197% gegroeid.

• Ransomware – de hoeveelheid ransomware is in Q4 met 1 miljoen nieuwe varianten toegenomen. Ten opzichte van een jaar eerder is de hoeveelheid ransomware verdubbeld.
• Verdachte URL’s – in 2013 is het aantal verdachte URL’s (die mogelijk linken naar malware) met 70% toegenomen.

• Algehele toename malware – in 2013 ontdekte McAfee Labs iedere minuut 200 nieuwe malwarevarianten; dat zijn er ruim 3 per seconde.

• Master Boot Record (MBR) malware – in 2013 ontdekte McAfee Labs 2,2 miljoen nieuwe malwarevarianten die zich richten op het Master Boot Record (MBR) van computers.

Ieder kwartaal monitort een McAfee Labs-team van ruim 500 onderzoekers in 30 landen in real-time de ontwikkeling en verspreiding van cyberdreigingen. Daarbij worden kwetsbaarheden in applicaties geïdentificeerd en risico’s geanalyseerd, zodat zowel organisaties als consumenten zo snel mogelijk beschermd kunnen worden.

Het complete McAfee Labs Threats Report: Fourth Quarter 2013 is te downloaden via http://mcaf.ee/qw7fe.