Overlast ransomware stijgt sterk

De hoeveelheid nieuwe ransomware varianten is met 165 procent toegenomen, grotendeels door de verspreiding van de zogenoemde CTB-Locker familie en zijn affiliates. Dat schrijft Intel Security, het voormalige McAfee.

In het eerste kwartaal van dit jaar zagen de onderzoekers van McAfee Labs het aantal nieuwe ransomware varianten met 165 procent stijgen. Deze stijging is volgens het bedrijf grotendeels te wijten aan de  moeilijk te detecteren CTB-Locker ransomware familie.

Het succes van CTB-Locker komt deels door slimme technieken om detectie door beveiligingssoftware te omzeilen. Verder wordt de kwaliteit van  phishing mails steeds beter, waardoor ze moeilijker te onderscheiden zijn van legitieme e-mails. Ook is er nu een ‘afilliate’ programma dat medeplichtigen een percentage biedt van de ransomware betalingen, in ruil voor het verzenden van grote hoeveelheden phishing berichten die een link naar CTB-Locker bevatten.

Volgens McAfee Labs moeten organisaties en mensen veel meer aandacht besteden aan het leren herkennen van phishing e-mails, bijvoorbeeld met behulp van tools zoals deIntel Security Phishing Quiz.

Ook de hoeveelheid nieuwe Adobe Flash-malware is de afgelopen tijd sterk gestegen, zelfs met 317 procent, nu aanvallers hun focus verleggen van kwetsbaarheden in Java en Microsoft Silverlight naar die in Adobe Flash zelf. Veel bedrijven installeren niet tijdig updates.

In februari 2015 werd ontdekt dat een geheime organisatie genaamd Equation Group op zoek was naar methoden om kwetsbaarheden in de firmware van harddisks te misbruiken. McAfee Labs onderzocht de programmamodules die in februari van dit jaar werden ontdekt en kwam tot de conclusie dat deze ook gebruikt konden worden om de firmware van SSD’s (flashgegheugens) te herprogrammeren.

Van de firmware van harde schijven was al bekend dat deze hiermee opnieuw geprogrammeerd konden worden. Eenmaal geherprogrammeerd, kan harddisk- en SSD-firmware misbruikt worden om malware te laden, iedere keer dat een systeem wordt gestart. Zelfs wanneer de harde schijf opnieuw wordt geformatteerd of het besturingssysteem opnieuw wordt geïnstalleerd, blijft de malware aanwezig.

Beveiligingssoftware is niet in staat om de malware die op deze manier is opgeslagen op een verborgen deel van de drive, te detecteren.

McAfee Labs adviseert organisaties stappen te nemen om de detectie te versterken van dreigingen die via de bekende aanvalskanalen binnen komen, zoals phishing mails en besmette USB-sticks en CD’s.

Andere trends die werden gesignaleerd:

Groei van pc-malware: in het eerste kwartaal is het aantal nieuw ontdekte pc-malware varianten iets afgenomen. Dat komt omdat een specifieke vorm van adware (SoftwarePulse) in het vierde kwartaal 2014 een piek beleefde en daarna naar ‘normaal’ niveau terugkeerde. De totale verzameling malware die door McAfee Labs wordt bijgehouden, groeide wel met 13 procent en bevat nu 400 miljoen varianten.

Mobiele malware: het aantal malware varianten dat zich richt op mobiele toestellen nam in het eerste kwartaal met 49 procent toe ten opzichte van het vierde kwartaal van 2014.

SSL-aanvallen: SSL-aanvallen zetten door, hoewel het aantal aanvallen iets afnam ten opzichte van het laatste kwartaal van 2014. Dit is waarschijnlijk het gevolg van updates voor SSL libraries, die een groot aantal kwetsbaarheden verhelpen. Er worden nog altijd veel ‘Shellshock’ aanvallen waargenomen.

Spam botnets: De Dyre, Dridex en Darkmailer3.Slenfbot botnets hebben het stokje overgenomen van Darkmailer2 als de top spamnetwerken.

Meer informatie iun het McAfee Labs Threats Report: May 2015.