McAfee Labs ziet cryptocurrency mining malware verder groeien in het tweede kwartaal

SCHIPHOL-RIJK, 26 september 2018 – McAfee, het device-to-cloud cybersecuritybedrijf, presenteert vandaag het McAfee Labs Threats Report: September 2018, met analyses van de groei en de trends van nieuwe dreigingen uit cyberspace in Q2 van 2018. In het tweede kwartaal constateerde McAfee Labs dat de groei in cryptomining malware, die in Q4 2017 werd ingezet, in de eerste helft van 2018 verder oploopt. McAfee zag opnieuw varianten verschijnen van het type malware dat kwetsbaarheden op vergelijkbare wijze misbruikt als WannaCry en NotPetya in 2017.

Hoewel ransomware nog steeds wordt aangetroffen, komt cryptomining malware nu snel op als nieuwe dreiging. Waar in het vierde kwartaal nog zo’n 400.000 nieuwe voorbeelden van cryptomining malware werden gevonden, groeide dit aantal in Q1 2018 met 629% naar meer dan 2,9 miljoen. Deze trend zette door in Q2, met een verdere groei van 86% en 2,5 miljoen nieuwe exemplaren. McAfee Labs kwam zelfs ogenschijnlijk oudere malware tegen, zoals ransomware, die nu opnieuw wordt ingezet voor cryptocurrency mining.

In sommige gevallen richt cryptomining malware zich op specifieke groepen, in plaats van op een brede verzameling potentiële slachtoffers. Eén soort cryptomining malware richtte zich op gamers van een Russisch forum door zich voor te doen als een ‘mod’ om populaire games te verbeteren. Als gamers zich lieten verleiden de malware te downloaden, werd de rekenkracht van hun computers misbruikt voor malafide winst.

Hoewel cryptomining malware zich vooral richt op pc’s, zijn ook andere apparaten misbruikt. In China en Korea zijn bijvoorbeeld Android telefoons gevonden die door de ADB.Miner malware werden misbruikt om Monero cryptocurrency te ontginnen voor de daders.

“Enkele jaren geleden nog zouden we er niet aan gedacht hebben dat internet routers, video-opnameapparatuur en andere Internet of Things apparaten geschikt zouden zijn als platform voor cryptomining, omdat hun CPU-snelheden simpelweg niet hoog genoeg waren om dat soort productiviteit te ondersteunen”, zegt Christiaan Beek, Lead Scientist en Senior Principal Engineer bij McAfee Advanced Threat Research. “Dankzij het sterk gegroeide aantal apparaten dat nu online is en de vaak zwakke wachtwoorden die daarop zitten, is het tegenwoordig alsnog een zeer aantrekkelijk platform geworden voor dit soort activiteiten. Als ik een cybercrimineel was met een botnet van 100.000 van dit soort IoT-apparaten, dan zou het me financieel bijna niets kosten om voldoende cryptocurrency te minen voor een nieuwe en winstgevende onderneming.”

Malware misbruikt kwetsbaarheden
Een jaar na de opkomst van WannaCry en NotPetya is de hoeveelheid nieuwe malware, die specifiek is ontworpen om kwetsbaarheden in software uit te buiten, met 151% gestegen in Q2. McAfee zag code uit deze twee bekende dreigingen terugkeren in nieuwe soorten malware en stuitte op nieuwe methoden om kwetsbaarheden te misbruiken die gebruikmaken van vergelijkbare technieken.

“WannaCry en NotPetya waren voor cybercriminelen aantrekkelijke voorbeelden van manieren om kwetsbaarheden te misbruiken voor toegang tot systemen en van daaruit snel door te stoten naar het netwerk”, vertelt Beek. “Het is verbazingwekkend te zien hoe kwetsbaarheden, die al in 2014 gesignaleerd zijn, nu nog steeds worden misbruikt om aanvallen in te zetten, zelfs als er al maanden, of zelfs jaren, patches voorhanden zijn om dat misbruik af te stoppen. Het maakt op een ontmoedigende manier duidelijk dat gebruikers en organisaties nog steeds beter hun best moeten doen om kwetsbaarheden te verhelpen zodra die oplossingen beschikbaar komen.”

Kwetsbaarheden in Windows 10 Cortana
McAfee Labs en het Advanced Threat Research team hebben een kwetsbaarheid ontdekt in de Cortana stemassistent van Microsoft Windows 10. De fout, waar Microsoft in juni een patch voor heeft uitgebracht, had aanvallers in staat kunnen stellen code te draaien vanaf het vergrendelde scherm van een volledige opgeschoonde Windows 10 computer (RS3 en RS4 vóór de patch van juni). Drie onderzoeksgebieden van McAfee zijn door Microsoft gecombineerd in CVE-2018-8140. McAfee heeft de kwetsbaarheid in april bij Microsoft aangedragen als onderdeel van de McAfee responsible disclosure policy. (meer informatie)

Frauduleuze afrekeningen door Google Play Apps
Het McAfee Mobile Research team trof op Google Play een nieuwe campagne aan van minimaal 15 apps die rekeningfraude plegen. De nieuwe campagne laat zien dat cybercriminelen nog steeds nieuwe manieren ontwikkelen om geld te stelen met behulp van apps in officiële app stores zoals Google Play. De groep achter deze campagne, de AsiaHitGroup Gang, is al zeker sinds eind 2016 actief met de distributie van het nep app-installatieprogramma Sonvpay.A, waarmee ze inmiddels al minstens 20.000 slachtoffers in voornamelijk Thailand en Maleisië geprobeerd hebben te laten betalen voor de download van populaire applicaties. In 2017 werd vervolgens de Sonvpay.B campagne aangetroffen op Google Play. Sonvpay.B maakt gebruik van geolocatie op basis van IP-adressen om het land van het slachtoffer te achterhalen, en voegde Russische slachtoffers toe aan de rekeningfraude om in potentie nog meer geld bij nietsvermoedende gebruikers weg te halen. (meer informatie)

Blockchain bedreigd
McAfee Advanced Threat Research heeft de belangrijkste dreigingen geïdentificeerd waar gebruikers van blockchain technologie mee te maken krijgen. De analyse van de onderzoekers toont aan dat phishing, malware en kwetsbaarheden in de implementatie de grootste bedreigingen zijn. (meer informatie)

Andere dreigingen in Q2 2018
In Q2 2018 detecteerde McAfee Labs vijf nieuwe dreigingen per seconde, inclusief nieuwe dreigingen met technische verbeteringen die voortborduren op recente succesvolle technologieën en tactieken om de verdediging van hun slachtoffers te omzeilen.

• Ransomware. Het totale aantal ransomware varianten blijft groeien, met een toename van 57% over de afgelopen vier kwartalen. Hoewel de groei van het aantal nieuwe ransomware families in de recente kwartalen iets is afgenomen, zag McAfee ook hoe van bekende ransomware families nieuwe varianten in omloop werden gebracht. Alleen al in Q2 zag McAfee bijvoorbeeld een dozijn nieuwe varianten op de Scarab ransomware verschijnen. Deze nieuwkomers maken meer dan 50% uit van het totale aantal bekende Scarab-varianten die sinds het verschijnen van de familie halverwege 2017 zijn waargenomen.
• Mobiele malware. Nieuwe mobiele malware nam met 27% toe in Q2; het tweede opeenvolgende kwartaal van groei. Klanten van McAfee in Zuid-Afrika rapporteerden met 14% verhoudingsgewijs de meeste infecties. De totale hoeveelheid mobiele malware groeide met 42% in de afgelopen vier kwartalen.
• JavaScript malware. Een groei van nieuwe malware met 204% wekt de indruk dat hackers zijn overgestapt op een nieuwe generatie JavaScript malware. Nadat de hoeveelheid JavaScript malware in de laatste drie kwartalen aanzienlijk was afgenomen, doken er in Q2 zeven miljoen nieuwe exemplaren op: een record, na de twee miljoen die al in Q1 werden gevonden.
• LNK malware. Hoewel PowerShell in de voorgaande kwartalen actief misbruikt werd door ontwikkelaars van bestandsloze malware, liep de groei van de hoeveelheid nieuwe malware terug tot 15%. Maar nieuwe LNK malware blijft toenemen, nu cybercriminelen steeds vaker gebruikmaken van .lnk snelkoppelingen om stiekem kwaadaardige PowerShell scripts en andere malware af te leveren. Het totale aantal exemplaren in deze categorie is met 489% gestegen in de afgelopen vier kwartalen.
• Spam botnets. Het Gamut spam botnet heeft alle andere botnets overtroffen in Q2. Het meest in het oog springende resultaat was een vloedgolf van ‘Canada Revenue Agency’ phishing scams. Andere opmerkelijke campagnes namen de vorm aan van valse vacatures die gewoonlijk worden gebruikt om ‘geldezels’ te recruteren.

Meer informatie over deze trends en statistieken rond actuele dreigingen:

McAfee Labs Threats Report: September 2018 (Infographic)