McAfee Labs: vier nieuwe malwaresamples per seconde in Q3 en toename van bestandsloze malware

Schiphol-Rijk, 18 december 2017 – Volgens het nieuwe McAfee Labs Threat Report: December 2017 is er in Q3 van dit jaar een recordhoeveelheid nieuwe malware verschenen: 57,6 miljoen nieuwe varianten. Dit zijn vier nieuwe malwaresamples per seconde. Deze toename is mede te danken aan nieuwe ontwikkelingen, zoals bestandsloze malware die kwaadaardige macro’s gebruikt, een nieuwe versie van de bekende Locky-ransomware, genaamd ‘Lukitus’ en nieuwe varianten van de banktrojans Trickbot en Emotet. Dreigingen die misbruik maken van kwetsbaarheden in Microsoft-technologie kwamen in het derde kwartaal veel voor, ondanks het feit dat Microsoft deze kwetsbaarheden al met patches heeft verholpen, waarvan sommige al in het eerste kwartaal van 2017 beschikbaar waren.

“In het derde kwartaal is gebleken dat aanvallers blijven profiteren van de veelzijdige en krachtige mogelijkheden van platformtechnologieën zoals PowerShell. Daarnaast blijven onoplettende gebruikers het slachtoffer worden van ransomware, terwijl wederom blijkt dat organisaties nalaten om bekende kwetsbaarheden te patchen”, zegt Raj Samani, Chief Scientist bij McAfee. “Aanvallers zijn altijd op zoek naar manieren om misbruik te maken van innovaties en nieuwe platforms. Dat betekent dat er voor ons als industrie een blijvende uitdaging ligt om ervoor te zorgen dat gebruikers en organisaties zich meer bewust worden van de risico’s.”

Misbruik van bekende kwetsbaarheden

In het derde kwartaal bleven cybercriminelen misbruik maken van kwetsbaarheden in Microsoft Office, zoals een kwetsbaarheid in Microsoft Office en WordPad, die het mogelijk maakt om via speciaal samengestelde bestanden programmacode uit te voeren. Voor deze aanval werd veel gebruikgemaakt van een tool dat vrij beschikbaar is via GitHub. Op deze manier kunnen criminelen makkelijk misbruik maken van deze kwetsbaarheid, zonder dat ze daarvoor veel technische kennis hoeven te hebben.

Nieuwe varianten van de Trickbot banktrojan bevatten de EternalBlue-exploit, die verantwoordelijk was voor de massale WannaCry en NotPetya ransomware-aanvallen eerder dit jaar. Ondanks de inspanningen van Microsoft om EternalBlue te bestrijden met beveiligingspatches, vinden de auteurs van Trickbot deze techniek blijkbaar toch nog steeds effectief. Ze combineerden dit met nieuwe mogelijkheden, onder andere de diefstal van cryptovaluta en nieuwe distributiemethoden. Dankzij deze combinatie waren deze nieuwe versies van Trickbot in Q3 de meest actieve banktrojans.

Bestandsloze dreigingen

In Q3 is de hoeveelheid PowerShell-malware met 119 procent toegenomen. Deze vorm van malware maakt geen gebruik van malwarebestanden, maar van PowerShell-macro’s. In deze categorie was vooral de Emtotet banktrojan erg prominent aanwezig, die via grootschalige spamcampagnes wereldwijd werden verspreid, waarbij gebruikers werden verleid om Microsoft Word-documenten te downloaden en te openen. Daarbij wordt ongemerkt een PowerShell-macro gestart, die malware op hun systemen installeert.

Lukitus ransomware

Een van de belangrijkste ontwikkelingen op het gebied van ransomware was de opkomst van ‘Lukitus’, een nieuwe versie van de Locky-ransomware. Deze ransomware werd in de eerste 24 uur van de aanval gedistribueerd via ruim 23 miljoen spam e-mails. De totale hoeveelheid nieuwe ransomwarevarianten is in Q3 met 36 procent gegroeid. De afgelopen vier kwartalen is de totale hoeveelheid ransomware met 44 procent toegenomen tot 12,3 miljoen varianten.

DragonFly: nieuwe sectoren als doelwit

DragonFly 2.0, de malware die eerder in 2017 werd ontdekt in de energiesector, heeft zich in Q3 ook gericht op bedrijven in andere sectoren, waaronder de farmaceutische industrie, de financiële dienstverlening en accountancy. Deze aanvallen werden uitgevoerd met behulp van spearphishing e-mails, die de ontvangers moesten verleiden om op een link te klikken. Via die link werd vervolgens de DragonFly trojan gedownload, die de aanvallers toegang tot het netwerk verschafte.

“De criminelen achter de DragonFly 2.0-aanvallen hebben een reputatie dat ze aanvallen doen die in feite bedoeld zijn om de werking van de interne systemen bij specifieke sectoren te ‘verkennen’. Daarbij blijken de energiesector en de farmaceutische industrie de voornaamste doelwitten”, zegt Christiaan Beek, Lead Scientist en Principal Engineer bij McAfee. “Het intellectueel eigendom en de inzichten die ze zich verschaffen wanneer ze eenmaal organisaties binnen deze sectoren zijn binnengedrongen, zijn van enorme economische waarde.”

Overzicht dreigingen in Q3

Beveiligingsincidenten: in Q3 telde McAfee Labs 263 beveiligingsincidenten die gemeld werden, 15% minder dan in Q2. Ruim 60% van alle gemelde incidenten vond plaats in Noord- en Zuid-Amerika.

Verticale industrieën: ruim 40% van alle gemelde incidenten in Q3 was gericht op de gezondheidszorg en de publieke sector.

• Europa, Oceanië en Afrika: de meeste aanvallen op verticale sectoren vonden plaats in de publieke sector.
• Noord Amerika: de meeste aanvallen op verticale sectoren vonden in Q3 plaats in de gezondheidszorg.
• Azië: de meeste aanvallen op verticale sectoren vonden in Q3 plaats in de publieke sector.

Aanvalsmethoden: gekaapte gebruikersaccounts waren de belangrijkste aanvalsmethode bij gemelde incidenten, gevolgd door datalekken, malware, DDoS-aanvallen en doelgerichte aanvallen.

Mobiele malware: de hoeveelheid mobiele malware groeide in Q3 verder tot 21,1 miljoen varianten. De hoeveelheid nieuwe mobiele malware is met 60% toegenomen ten opzichte van Q2, voornamelijk dankzij een snelle groei van ransomware die het scherm van Android-toestellen op slot zet.

Totale malware: in Q3 is de totale hoeveelheid malware verder gegroeid tot 57,5 miljoen varianten, een toename van 10%. Gemeten over de afgelopen vier kwartalen is het totale aantal malwarevarianten met 27% gegroeid tot 781 miljoen varianten.

Bestandsloze malware: hoewel de hoeveelheid nieuwe JavaScript-malware in Q3 met 26% afnam, is de hoeveelheid PowerShell-malware meer dan verdubbeld (119%).

Ransomware: in Q3 is het aantal nieuwe ransomwarevarianten met 36% gegroeid. Het totale aantal ransomwarevarianten is in Q3 met 14% gegroeid tot 12,2 miljoen varianten.

Mac malware: de hoeveelheid malware voor Mac OS is in Q3 met 7% gegroeid.

Macro malware: de hoeveelheid macro malware is in Q3 met 8% gegroeid.

Meer informatie is hier te vinden:

• McAfee Labs Threats Report: December 2017
• Summary: McAfee Labs Threats Report Notes All-Time Highs for Malware
• DragonFly targets new industries: BioPharma, finance, accounting
• Looking into the World of Ransomware Actors Reveals Some Surpises

Over McAfee

McAfee is een van ’s werelds grootste onafhankelijke cybersecuritybedrijven. Geïnspireerd door de kracht van samenwerking, creëert McAfee zakelijke en consumentenoplossingen die de wereld veiliger maken. Kijk voor meer informatie op www.mcafee.com.