Cyberaanvallers richten zich op gezondheidszorg en op Facebook-gebruikers

Sterke toename van beveiligingsincidenten in de gezondheidszorg; Faceliker manipuleert Facebook-accounts om nieuws, websites en advertenties te promoten

• In Q2 van 2017 werd een kwart van de wereldwijde beveiligingsincidenten gemeld door de gezondheidszorg
• In Q2 54% meer ransomware en 35% meer macro-malware
• Hoeveelheid mobiele malware in een jaar tijd met 61% gegroeid

Schiphol-Rijk, 26 september 2017 – Wereldwijd is de gezondheidszorg steeds vaker het doelwit van cyberaanvallen. In het tweede kwartaal van dit jaar meldde deze sector voor het eerst meer incidenten dan de publieke sector. Dit is een van de conclusies in het nieuwe McAfee Labs Threats Report: September 2017. Het rapport onderzoekt verder de groei van op scripts gebaseerde malware en biedt een analyse van de recente WannaCry en NotPetya ransomware aanvallen.

In het tweede kwartaal is Facebook uitgegroeid tot een belangrijk aanvalskanaal. De Faceliker trojan was verantwoordelijk voor een belangrijk deel (8,9 procent) van de in totaal 52 miljoen nieuwe malware die in Q2 door McAfee Labs werd waargenomen. Deze trojan infecteert de browser wanneer een gebruiker een besmette website bezoekt. Vervolgens worden de Facebook ‘Likes’ van deze gebruiker gekaapt om content te promoten de gebruiker zich daarvan bewust is. Door dit op grote schaal te doen kunnen de criminelen achter Faceliker veel geld verdienen, omdat de zo gekaapte kliks op advertenties ervoor kunnen zorgen dat een nieuwsartikel, video of website populairder of betrouwbaarder lijkt dan deze daadwerkelijk is.

“Faceliker maakt misbruik van de sociale media en apps die we dagelijks gebruiken om te communiceren”, zegt Vincent Weafer, vice president McAfee Labs. “Door apps of nieuwsartikelen populairder en betrouwbaarder te laten lijken dan ze daadwerkelijk zijn, kunnen de mensen achter Faceliker – zonder dat we het doorhebben – beïnvloeden welke nieuwsberichten we als ‘waarheid’ beschouwen. Zo lang er met dit soort activiteiten geld valt te behalen, kunnen we meer van dit soort pogingen verwachten.”

Uit een analyse door McAfee Labs van gemelde beveiligingsincidenten blijkt dat de publieke sector in Noord Amerika de afgelopen zes maanden het meest is aangevallen. Maar in Q2 is die sector ingehaald door de gezondheidszorg, met ruim een kwart (26%) van het totale aantal gemelde incidenten. Hoewel de meeste beveiligingsincidenten in de gezondheidszorg hoogstwaarschijnlijk het gevolg zijn van menselijke fouten, blijft het aantal cyberaanvallen op deze sector toenemen. Deze trend werd in Q3 2016 ingezet, toen tal van ziekenhuizen over de hele wereld te maken kregen met aanhoudende ransomware aanvallen. Verschillende ziekenhuisafdelingen werden volledig lamgelegd en in een aantal gevallen moesten ziekenhuizen patiënten verhuizen en operaties uitstellen.

Opkomst van op scripts gebaseerde malware
Onderzoekers van McAfee beschrijven in het rapport ook de duidelijke toename in malware gebaseerd op scripts, in de afgelopen twee jaar. Microsofts PowerShell scripttaal wordt gebruikt om allerlei administratieve taken te automatiseren, zoals het op de achtergrond uitvoeren van opdrachten, controle van services die op een systeem draaien, het beëindigen van processen en het configureren van systemen en servers. Kwalijke PowerShell scripts komen vaak binnen via spam e-mails, waarbij eerder gebruik wordt gemaakt van social engineering dan van softwarekwetsbaarheden. Vervolgens worden de mogelijkheden van de scripttaal ingezet om toegang te krijgen tot een systeem.

De trend rond op scripts gebaseerde malware betreft ook de inzet van andere scripttalen, zoals JavaScript en VBScript. Ook andere veel gebruikte bestandstypen zoals .doc, PDF, .xls, HTML en andere bekende computerstandaards worden steeds vaker ingezet om malware te verspreiden.

Nadere analyse WannaCry en NotPetya
McAfee heeft de WannaCry en NotPetya aanvallen, eerder dit jaar, nader geanalyseerd. Het rapport laat zien hoe de aanvallers relatief eenvoudige methoden op creatieve wijze combineerden. Daarbij ging het om misbruik van een beveiligingslek, bekende ransomware en wormtechnieken om de aanval te verspreiden. Daarbij valt op dat bij beide aanvallen betalings- en decryptietechnieken ontbraken die nodig zijn het losgeld van slachtoffers te innen en om systemen weer te ontsluiten.

“Er wordt wel beweerd dat deze ransomware campagnes niet succesvol waren, vanwege het relatief lage bedrag dat de cybercriminelen er aan verdienden”, zegt Raj Samani Chief Scientist bij McAfee. “Het is echter aannemelijk dat het bij WannaCry en NotPetya niet zozeer ging om financieel gewin, maar om iets anders. Als het disruptie het motief was, dan waren beide campagnes zeer effectief. We leven nu blijkbaar in een wereld waarin er nog andere motieven dan geld zitten achter ransomware. Welkom in de wereld van pseudo-ransomware.”

Lees voor meer inzichten de blog ‘More Effective at Destruction than Ransomware’.

Trends tweede kwartaal 2017
Naast bovengenoemde cijfers en dreigingen registreerde het McAfee Labs Global Threat Intelligence netwerk wereldwijd nog het volgende:

• Ransomware – in Q2 is het aantal nieuwe ransomware varianten opnieuw sterk toegenomen, met 54%. De afgelopen vier kwartalen is het totale aantal ransomware varianten met 47% gegroeid, tot 10,7 miljoen varianten.
• Mobiele malware – De afgelopen vier kwartalen is de hoeveelheid mobiele malware toegenomen met 61%, tot 18,4 miljoen varianten. In Q2 werden wereldwijd 8% meer mobiele toestellen besmet dan in het voorgaande kwartaal. Vooral in Azië werden veel meer (18%) mobiele toestellen besmet.
• Macro malware – in Q2 is de hoeveelheid nieuwe macro malware met 35% gegroeid. Er werden 91.000 nieuwe varianten waargenomen, waarmee het totaal komt om 1,1 miljoen.
• Totale hoeveelheid malware – in Q2 zijn er maar liefst 67% meer nieuwe malware varianten gedetecteerd. Deze toename is voor een deel toe te schrijven aan de sterke toename van malware installers en de Faceliker trojan. De afgelopen vier kwartalen is het totale aantal malware varianten met 23% gegroeid, tot 723 miljoen.
• Regionale verschillen in getroffen sectoren – wereldwijd waren de gezondheidszorg, de publieke sector en het onderwijs goed voor ruim de helft van alle gemelde beveiligingsincidenten.
o EMEA (Europa, het Midden Oosten en Afrika) – In deze regio meldde de publieke sector veruit de meeste beveiligingsincidenten in Q2, gevolgd door de entertainmentsector, de gezondheidszorg, de financiële sector en de technologiesector.
o Noord Amerika – in Noord Amerika zag de gezondheidszorg in Q2 de meeste incidenten.
o Azië – In Azië rapporteerde de publieke sector de meeste incidenten in Q2, gevolgd door de financiële sector en de technologiesector.

Over McAfee
McAfee is een van ’s werelds grootste onafhankelijke cybersecuritybedrijven. Geïnspireerd door de kracht van samenwerking, creëert McAfee zakelijke en consumentenoplossingen die de wereld veiliger maken. Kijk voor meer informatie op www.mcafee.com.