McAfee Labs ziet sterke toename ransomware in Q1: 165% meer dan in Q4 2014

Intel Security heeft het McAfee Labs Threats Report: May 2015 gepubliceerd. Dit rapport bevat nieuws over de snelle verspreiding van nieuwe ransomware varianten, aanvallen op de firmware van harddisks en Solid State Drives (SSD’s) door de computerspionagegroep Equation Group en een sterke toename van malware die zich richt op kwetsbaarheden in Adobe Flash.

In het eerste kwartaal van dit jaar zagen de onderzoekers van McAfee Labs het aantal nieuwe ransomware varianten met 165 procent stijgen. Deze stijging is grotendeels te danken aan de nieuwe, moeilijk te detecteren CTB-Locker ransomware familie. Daarnaast werden een nieuwe ransomware genaamd ‘TeslaCrypt’ nieuwe versies van CryptoWall, TorrentLocker en BandaChor ransomware gedetecteerd. Het succes van CTB-Locker is volgens McAfee Labs te danken aan slimme technieken om detectie door beveiligingssoftware te omzeilen. Verder wordt de kwaliteit van  phishing mails steeds beter, waardoor ze moeilijker te onderscheiden zijn van legitieme e-mails. Ook is er nu een ‘afilliate’ programma dat medeplichtigen een percentage biedt van de ransomware betalingen, in ruil voor het verzenden van grote hoeveelheden phishing berichten die een link naar CTB-Locker bevatten.

Volgens McAfee Labs moeten organisaties en mensen veel meer aandacht besteden aan het leren herkennen van phishing e-mails, bijvoorbeeld met behulp van tools zoals de Intel Security Phishing Quiz.

Harddisk- en SSD-malware van Equation Group

In februari 2015 werd ontdekt dat een geheime organisatie genaamd ‘Equation Group’ op zoek was naar methodes om kwetsbaarheden in de firmware van harddisks te misbruiken. McAfee Labs onderzocht de programmamodules die in februari van dit jaar werden ontdekt en kwam tot de conclusie dat deze ook gebruikt konden worden om de firmware van SSD’s te herprogrammeren. Van de firmware van harddisks was al bekend dat deze hiermee opnieuw geprogrammeerd konden worden. Eenmaal geherprogrammeerd, kan harddisk- en SSD-firmware misbruikt worden om malware te laden, iedere keer dat een systeem wordt gestart. Zelfs wanneer de drives opnieuw worden geformatteerd of het besturingssysteem opnieuw wordt geïnstalleerd, blijft de malware aanwezig. Beveiligingssoftware is niet in staat om de malware die op deze manier is opgeslagen op een verborgen deel van de drive, te detecteren.

• De vier stappen van de infectie van harddisk/SSD firmware door Equation Group-malware
• “Bij Intel Security nemen we dergelijke hybride software/hardware dreigingen zeer serieus”,  stelt Wim van Campen, VP Noord- en Oost-Europa van Intel Security. “We hebben zowel de academische ‘proof-of-concepts’ als daadwerkelijke voorbeelden van deze malware in de gaten gehouden. Deze firmware-aanvallen van de Equation Group behoren tot de meest geavanceerde in hun soort. Hoewel dit soort malware tot nu toe vooral werd ingezet voor zeer doelgerichte aanvallen, moeten organisaties zich toch voorbereiden op de ‘standaard’-varianten van deze dreigingen, die we in de toekomst vrijwel zeker zullen zien.”

McAfee Labs adviseert organisaties stappen te nemen om de detectie te versterken van dreigingen die via de bekende aanvalskanalen binnen komen, zoals phishing mails en besmette USB-sticks en CD’s. Daarnaast worden oplossingen aangeraden die het wegsluizen van data helpen voorkomen.

Meer Flash-malware

In het eerste kwartaal is de hoeveelheid malware die zich richt op kwetsbaarheden in Adobe Flash met 317 procent toegenomen. Volgens de onderzoekers heeft dit verschillende oorzaken: de populariteit van Adobe Flash en het feit dat veel gebruikers beveiligingspatches niet direct installeren. Daarnaast zijn er nieuwe methodes om misbruik te maken van kwetsbaarheden, is er een sterke toename van het aantal mobiele toestellen dat Adobe Flash-bestanden kan afspelen, en blijkt het moeilijk om sommige Adobe Flash-exploits te detecteren. Onderzoekers zien dat de ontwikkelaars van exploit kits hun focus verleggen, van kwetsbaarheden in Java archive en Microsoft Silverlight naar kwetsbaarheden in Adobe Flash.

Er werden in Q1 in totaal 42 nieuwe kwetsbaarheden in Adobe Flash aangemeld bij de Amerikaanse National Vulnerability Database. Op dezelfde dag dat deze kwetsbaarheden bekend werden gemaakt, bracht Adobe patches uit voor alle 42 veiligheidslekken.

“De populariteit van producten zoals Adobe Flash creëert een zware verantwoordelijkheid om kwetsbaarheden proactief te identificeren en te verhelpen. Er zijn immers miljoenen gebruikers die potentieel het slachtoffer kunnen worden”, vervolgt Van Campen. “Dit nieuwe rapport laat zien wat er mogelijk is als de industrie samenwerkt op het gebied van cybercriminaliteit. Als we informatie over dreigingen met elkaar uitwisselen, kunnen technologieleveranciers sneller reageren om potentiële beveiligingskwesties te voorkomen.”

McAfee Labs roept organisaties en gebruikers op om er voor te zorgen dat hun producten altijd zijn voorzien van de nieuwste beveiligingsupdates.

Verder zag McAfee Labs in Q1 de volgende trends:

• Groei van PC-malware - in het eerste kwartaal is het aantal nieuw ontdekte PC-malware varianten iets afgenomen. Dit is vooral te wijten aan het feit dat een specifieke vorm van adware – SoftwarePulse –  in Q4 van 2014 een piek beleefde. In Q1 van dit jaar keerde het activiteitsniveau van deze adware terug naar een ‘normaal’ niveau. De totale verzameling malware die door McAfee Labs wordt bijgehouden, groeide in Q1 met 13 procent en bevat nu 400 miljoen varianten.
• Mobiele malware – het aantal malware varianten dat zich richt op mobiele toestellen nam in Q1 met 49 procent toe ten opzichte van Q4 2014.
• SSL-aanvallen – SSL-aanvallen zetten in Q1 door, hoewel het aantal aanvallen iets afnam ten opzichte van Q4 2014. Dit is waarschijnlijk het gevolg van updates voor SSL libraries, die een groot aantal kwetsbaarheden verhelpen.  Er worden nog altijd veel ‘Shellshock’ aanvallen waargenomen.
• Spam botnets – De Dyre, Dridex en Darkmailer3.Slenfbot botnets hebben het stokje overgenomen van Darkmailer2 als de top spamnetwerken.