Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TrendLabsSM-beveiligingsoverzicht Q1 2015
Inhoud TREND MICRO JURIDISCHE DISCLAIMER De hier verschafte informatie is algemeen van aard en is uitsluitend als voorlichting bedoeld. Deze informatie is niet bedoeld als en moet niet worden opgevat als juridisch advies. Deze informatie is mogelijk niet in alle situaties van toepassing en is mogelijk niet geheel up-to-date. Er dient niet op deze informatie te worden vertrouwd of naar deze informatie te worden gehandeld zonder juridisch advies in te winnen dat is gebaseerd op de specifieke feiten en omstandigheden, en deze informatie dient niet anders te worden opgevat. Trend Micro behoudt zich het recht voor de inhoud van dit document op elk gewenst moment zonder voorafgaande kennisgeving te wijzigen. Vertalingen van enig materiaal in andere talen zijn uitsluitend bedoeld voor het gemak van de lezer. De juistheid van vertalingen wordt niet gegarandeerd of geïmpliceerd. Als er vragen rijzen omtrent de juistheid van een vertaling, raadpleegt u de officiële versie van het document in de oorspronkelijke taal. Discrepanties of verschillen die optreden in de vertaling, zijn niet bindend en hebben geen juridisch effect met betrekking tot compliance- of afdwingingsdoeleinden. Trend Micro doet redelijke pogingen te zorgen dat deze informatie juist en up-to-date is. Trend Micro verleent echter geen enkele garantie en doet geen enkele toezegging dat deze informatie juist, upto-date of volledig is. U gaat ermee akkoord dat u op eigen risico toegang krijgt tot dit document, dit document gebruikt en op dit document vertrouwt. Trend Micro wijst alle uitdrukkelijke of impliciete garanties van welke aard dan ook af. Noch Trend Micro noch enige andere partij die betrokken is bij het maken, produceren of leveren van dit document, is aansprakelijk voor enige gevolgen, verliezen of schade, inclusief directe, indirecte, speciale of gevolgschade, gederfde bedrijfsinkomsten of bijzondere schade, die voortvloeien uit de toegang tot, het gebruik van of het onvermogen gebruik te maken van dit document of verband houden met het gebruik van dit document, of voor eventuele fouten of weglatingen in de inhoud ervan. Als u deze informatie gebruikt, houdt dit in dat u de informatie accepteert in de staat waarin deze verkeert.
4 Problemen in bedrijfsmodel voor internetreclame brengen beveiliging van gebruikers in gevaar
11 Explosie van infecties met cryptoransomware, ondernemingen in gevaar
17 Macromalware, oud maar nog steeds effectief
21 Tien jaar oud FREAK-beveiligingslek leverde problemen op voor patchbeheer
26 Talloze gegevensinbreuken in gezondheidszorg, andere branches verlamd door PoS-malware-aanvallen
30 Oude bedreigingsactoren staken weer de kop op met nieuwe tools, tactieken en procedures voor gerichte aanvalscampagnes
32 Exploitkits werden steeds geavanceerder
36 Overzicht van bedreigingslandschap
Als je kijkt naar de bedreigingen van het afgelopen kwartaal, lijkt het of gebruikers zich niet kunnen beschermen, hoe voorzichtig ze ook zijn. Cybercriminelen en bedreigingsactoren hoeven geen nieuwe kanalen meer te creëren om hun slachtoffers en doelwitten te bereiken. De basis is al gelegd, ze hoeven de aanvallen alleen nog maar uit te voeren. De grootste gaten in de beveiliging worden vaak over het hoofd gezien. Malvertenties zijn bijvoorbeeld niet nieuw. Veel gebruikers zijn eraan gewend geraakt. Hoewel gebruikers zich bewapenen met de nieuwste beveiligingsoplossingen en de meest actuele kennis, kan niets ze voorbereiden op malvertenties die worden gecombineerd met 'zero-day'-aanvallen. Het incident met Adobe® Flash® dat in februari van dit jaar plaatsvond, toont aan hoe effectief een dergelijke aanval kan zijn. Ook mobiele gebruikers werden niet gespaard. Adware bleef een belangrijke bedreiging, zoals wel bleek uit het oprollen van Google Play™-apps in diezelfde maand. De apparaten van miljoenen mensen die schijnbaar veilige apps met een hoog risico downloadden, waren echter al geïnfecteerd voordat de apps werden opgerold. Advertentienetwerken moeten hun beveiliging absoluut opschroeven. Ook zien veel gebruikers verouderde technologie niet als een serieus probleem. De sterke stijging van het aantal infecties door macromalware (in Microsoft™ Word®-bestanden) en de hardnekkigheid van OpenSSL-exploits toonden aan waar cybercriminelen allemaal toe in staat zijn door misbruik te maken van oude en bekende beveiligingsproblemen. De grootste sector die in de afgelopen maanden niet goed voorbereid bleek, was echter de retailbranche. Dat is best vreemd, omdat er al die tijd regelmatig PoSmalware-aanvallen (Point-of-Sale) werden uitgevoerd. Net als ransomware lijkt PoSmalware behoorlijk hardnekkig en blijven de gegevens van bedrijven en hun klanten dus gevaar lopen. Doen we wel genoeg om onszelf te beschermen tegen beveiligingsrisico's? Zoals de grootste incidenten in de eerste drie maanden van 2015 hebben aangetoond, zijn zelfs gebruikers en organisaties die beveiliging heel serieus nemen niet immuun voor deze gevaren. Bedreigingsactoren zullen immers niet aarzelen om misbruik van zelfs het kleinste beveiligingslek te maken om te krijgen wat ze willen. In computeromgevingen zou tegenwoordig geen ruimte voor fouten meer mogen zijn.
OPMERKING: Elke keer dat het woord 'detecties' voorkomt in de tekst, wordt er verwezen naar gevallen waarin bedreigingen worden aangetroffen op apparaten van gebruikers, die vervolgens worden geblokkeerd door Trend Micro beveiligingssoftware. Tenzij anders aangegeven, zijn de cijfers die in dit rapport worden genoemd gebaseerd op gegevens die zijn verzameld door de beveiligingsinfrastructuur in de cloud van het Trend Micro™ Smart Protection Network™. Deze infrastructuur maakt gebruik van een combinatie van technologieën in de cloud en technieken op clients om producten op locatie en gehoste services te ondersteunen.
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Problemen in bedrijfsmodel voor internetreclame brengen beveiliging van gebruikers in gevaar Online advertenties groeiden uit tot een populaire drager van exploits. Dit kwam waarschijnlijk door het feit dat gebruikers niet in de hand hebben welke advertenties ze zien. Net als hun bezoekers werden ook site‑eigenaren hierdoor getroffen, omdat ze geen controle hadden over welke advertenties daadwerkelijk werden getoond op hun sites. Zero-day-exploits die gericht waren op Adobe-
hierbij om het alleen bezoeken van vertrouwde
software, hebben onlangs een upgrade gekregen
sites en het bijgewerkt houden van toepassingen
en werden vervolgens gebruikt in malvertentie-
met de nieuwste patches.
aanvallen. Een voorbeeld van een dergelijke exploit (CVE-2015-0313), die inmiddels onderdeel van de
Volgens
een
rapport
van
de
Amerikaanse
Angler-exploitkit is, werd begin februari van dit
Senate Committee on Homeland Security and
jaar ontdekt. Doordat deze exploit gebruikmaakte
Governmental Affairs is het lastig om in de
van malvertenties, was men voor het infecteren
online reclamebranche de weg te vinden. “Door
van hun computers niet langer afhankelijk van
de complexiteit van de online reclamebranche
slachtoffers die schadelijke pagina's bezochten of
is het lastig om de entiteiten te identificeren en
hier toevallig terechtkwamen.
aansprakelijk te stellen die verantwoordelijk zijn voor de schade die het gevolg is van malware-
De laatste tijd zijn malvertentie-aanvallen een
aanvallen.”1, 2 Malvertising is niet alleen een
grotere bedreiging gaan vormen doordat er zero-
probleem voor eindgebruikers, maar ook voor
day-exploits worden gebruikt. De combinatie van
site-eigenaren. Op websites kunnen schadelijke
malvertenties en zero-day-exploits ondermijnde
advertenties te zien zijn zonder dat de site-
twee van de best practices voor beveiliging die
eigenaren hiervoor toestemming hebben gegeven
tegenwoordig het meest worden gebruikt. Het gaat
of hiervan op de hoogte zijn.
4 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Belangrijke beveiligingsproblemen in Q1 2015
CVE-2015-0310
CVE-2015-0311
Alle Adobe Flash-versies tot 16.0.0.257
Alle Adobe Flash-versies tot 16.0.0.287
Exploit uitgevoerd met SWF_ANGZIA.A (aankomst niet openbaar gemaakt)
Exploit uitgevoerd met SWF_ANGZIA.B, SWF_ANGZIA.C of SWF_ANGZIA.F via malvertenties
22 JAN
22 JAN
24 JAN
27 JAN
22 JAN
CVE-2015-0313
22 JAN
24 JAN
2 FEB
CVE-2015-0072
Alle Adobe Flash-versies tot 16.0.0.296
Microsoft™ Internet Explorer® versie 9 t/m 11
Exploit uitgevoerd met BEDEPachterdeuren via malvertenties
Exploit uitgevoerd met webinjectie in combinatie met schadelijke koppelingen
2 FEB
2 FEB
CVE-ID (veelvoorkomende beveiligingsproblemen)
4 FEB
10 FEB
Openbaarmaking van beveiligingsproblemen
5 FEB
Ontdekking van aanvallen
5 FEB
Patches voor beveiligingsproblemen
10 MRT
3 FEB
Vrijgave van Trend Micro Deep Securityregels
Van de vier zero-day-exploits die in het afgelopen kwartaal zijn ontdekt, maakten er twee gebruik van malvertenties als infectievector.
5 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Hoe malvertising werkt
Zo werkt online adverteren Adverteerders willen producten of services promoten Advertentienetwerken koppelen adverteerders aan sites die online advertenties willen plaatsen. Ze verzamelen meerdere advertenties, voegen deze samen en leveren ze vervolgens aan verschillende sites De partijen die advertenties publiceren (site-eigenaren) integreren advertenties in de online content van de sites. Ze kunnen meerdere advertenties in verschillende indelingen weergeven Gebruikers zien advertenties wanneer ze sites bezoeken die advertenties plaatsen
Zo werkt online malvertising
Cybercriminelen doen zich voor als adverteerders en dienen schadelijke advertenties in Schadelijke en legitieme advertenties raken met elkaar vermengd, wat mogelijk komt doordat ze niet goed worden doorgelicht wanneer ze worden ingediend door advertentienetwerken Schadelijke advertenties worden weergegeven op sites die advertenties plaatsen
Schadelijke advertenties maken misbruik van kwetsbare plekken op de computers van sitebezoekers om malware te plaatsen
6 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal BEDEP- en ROZENA-infecties dat is verspreid via malvertenties van Q4 2014 t/m Q1 2015
Q4 2014 TOTAAL: 2503
4K
Q1 2015 TOTAAL: 10.031 3568
2385
2480
2K
1858
1 0
1660
313
106 6
5
152
0
OKT
NOV
DEC
JAN
2014
FEB
MRT
2015
BEDEP TOTAAL: 7719
ROZENA TOTAAL: 4815
Malvertenties stuurden slachtoffers naar sites die hun computers automatisch infecteerden met allerlei soorten malware.
Een zero-day-exploit voor Adobe Flash die werd
laptopmodellen voor consumenten die tussen
gedistribueerd
verspreidde
september en december 2014 zijn geleverd.5, 6
BEDEP-malware.3 Gebruikers die BEDEP-mal
Superfish werd geclassificeerd als bloatware
ware downloadden, liepen ongewild het risico
of
dat ze zouden deelnemen aan botnetoperaties
gebruikt en vooraf is geïnstalleerd op computers.
van aanvallers. Bovendien liepen ze het risico
Met deze add-on konden zoekresultaten (die
slachtoffer te worden van fraude en dat er nog
worden weergegeven als afbeeldingen) worden
andere malware werd gedownload.
aangepast op basis van de browsegeschiedenis van
via
malvertenties,
4
onnodige
software
die
veel
schijfruimte
gebruikers.7 Superfish gedroeg zich niet alleen als Dit kwartaal bevond zich onder de bedreigingen
adware, maar stelde cybercriminelen ook in staat
waarbij
om zich toegang te verschaffen tot zogenaamd
advertenties
betrokken
waren,
ook
Superfish. Dit is een add-on voor browsers die
beveiligde communicatie.
vooraf was geïnstalleerd op minimaal 52 Lenovo®-
7 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Hoe werkt Superfish?
Aangezien Superfish vooraf wordt geïnstalleerd op bepaalde Lenovo-laptopmodellen, zijn gebruikers mogelijk niet volledig op de hoogte van wat deze add-on inhoudt en wat deze doet en zijn ze het mogelijk ook niet eens met de installatie hiervan. Superfish installeert zijn eigen basiscertificaat zodat het programma zelfs in HTTPS werkt. Op deze manier kan het beveiligde communicatie onderscheppen zonder dat er waarschuwingen worden weergegeven.
De visuele zoektechnologie Superfish is een add-on voor browsers die aan advertenties gerelateerde afbeeldingen weergeeft die zijn gekoppeld aan zoekresultaten.
Superfish-certificaten maken op alle laptops gebruik van dezelfde persoonlijke sleutel, die naar de openbaarheid is weggelekt. Hierdoor is de versleuteling en bescherming tegen mogelijk misbruik zwak.
Behalve dat Superfish vooraf werd geïnstalleerd en zich gedroeg als adware, vormde de add-on ook een grote bedreiging. Door het zwakke certificaat liep zelfs beveiligde communicatie een groot risico.
De
adware
gebruikers.
richtte
zich
Verschillende
niet Google
alleen
op
(ANDROIDOS_ADMDASH.HRX)
infecteerde
Play-apps
naar verluidt miljoenen apparaten voordat de
die gebruikmaakten van de MDash Software
besmette apps van Google Play werden verwijderd.
Development Kit (SDK), forceerden namelijk
In de store zijn nog ruim 2000 apps gevonden die
ook de weergave van schadelijke advertenties
vergelijkbaar gedrag vertoonden.
op alle getroffen mobiele apparaten.8 MDash
8 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal met MDash besmette apps dat is aangetroffen op Google Play voor en na het oprollen
FEB
3 FEBRUARI Google verwijderde naar verluidt drie apps uit de store nadat gebleken was dat dit vermomde adware was
11 MAART
MRT
26 MAART Google werd op de hoogte gesteld van het probleem en gaf aan dat er nader onderzoek zou worden gedaan
Onze onderzoekers troffen in 2377 apps SHA-256-hashes aan op Google Play op het moment dat deze werden geanalyseerd 31 MAART
APR
2 APRIL
682 apps waren nog steeds verkrijgbaar in de store toen onze onderzoekers dat controleerden
15 APRIL
MDash-blogitem werd gepubliceerd MEI
85 apps waren nog steeds verkrijgbaar op Google Play toen onze onderzoekers dat opnieuw controleerden
Begin maart van dit jaar zijn ongeveer 2000 met MDash besmette apps aangetroffen op Google Play. De meeste hiervan werden binnen een maand nadat ze waren gemeld, opgerold.
De bedreigingen die het afgelopen kwartaal zijn
zelfs beveiligde communicatie het gevaar liep in
ontdekt, gebruikten het online advertentieplatform
handen te vallen van aanvallers. En opnieuw werd
om de gegevensbeveiliging van gebruikers en site-
aangetoond dat geen enkel apparaat gevrijwaard
eigenaren in gevaar te brengen. Malvertenties
is van bedreigingen, door aanvallers die MDash
bleken effectieve dragers te zijn voor zero-day-
en vergelijkbare apps gebruikten om waardevolle
exploits, zoals wel blijkt uit de recente zero-day-
informatie van slachtoffers te stelen.
aanvallen via Adobe. Superfish zorgde ervoor dat
9 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
“Voor gewone mensen vormen malvertenties een van de ergste bedreigingen waarmee ze te maken kunnen krijgen. Malvertenties kunnen meer schade dan enige andere bedreiging aanrichten, zelfs als men precies doet wat men moet doen. Malvertenties kunnen mensen treffen die niet op koppelingen klikken, hun beveiligingsoplossingen volledig hebben bijgewerkt en alleen vertrouwde sites bezoeken. Je kunt, kortgezegd, niet voorzichtig genoeg zijn. Je kunt alleen maar geluk hebben.”
Christopher Budd, Threat Communications Manager
“Steeds grotere aantallen gebruikers mijden schadelijk reclamemateriaal in zowel online als traditionele media. Als de trend om misbruik te maken van advertenties zich voortzet, kunnen we verwachten dat browserleveranciers functionaliteit in hun producten opnemen waarmee advertenties kunnen worden geblokkeerd. Nu is die functionaliteit alleen nog beschikbaar als plug-ins van derden. De enige manier waarop advertentienetwerken deze ingrijpende verandering kunnen afwenden, is door meer hun best te gaan doen om de content te controleren die ze – bijvoorbeeld via pre-release sandboxing – publiceren. Bovendien zullen ze de sites die ze bedienen, beter moeten gaan controleren.”
Rik Ferguson, Vice President of Security Research
10 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Explosie van infecties met cryptoransomware, ondernemingen in gevaar Crypto-ransomware heeft zijn basisdoelen uitgebreid en richt zich niet meer alleen op consumenten, maar ook op ondernemingen en nichegebruikerstypen. In het eerste kwartaal van 2015 is bijna de helft
voor hun Police Trojan-voorgangers. De veel
van alle ransomware-infecties geclassificeerd als
schadelijkere opvolgers – crypto-ransomware –
een zeer schadelijk type: crypto-ransomware.
versleutelden bestanden waarvoor vervolgens
Deze nieuwe en krachtigere ransomware beperkte
losgeld moest worden betaald. Dit betekende dat
zich niet tot het blokkeren van de toegang van
gebruikers een hoger risico liepen.
slachtoffers tot hun computers, wat wel gold
Vergelijking van bekende voorbeelden van crypto-ransomware
1
2 (Bandarchor)
3 CryptoFortress
Maakt gebruik van oude technieken, hoewel er ook regelmatig nieuwe varianten de kop op steken (richt zich op meer bestandstypen; overgeschakeld van losgeldberichten in het Russisch naar berichten in het Engels)
Gebruikt ongeveer dezelfde gebruikersinterface (UI) als TorrentLocker; maakt intensief gebruik van jokertekens om naar bestandsnaamextensies te zoeken; versleutelt bestanden op netwerkshares
Gedownload door TROJ_CRYPTOP.KLS, samen met andere onderdelen
Verspreid via spam en beveiligingslekken
Onderdeel van de Nuclear-exploitkit
4 TeslaCrypt
5 VaultCrypt
6 Troidesh
Hanteert een UI die vergelijkbaar is met die van CryptoLocker; versleutelt behalve documenten ook aan games gerelateerde bestanden
Maakt gebruik van GnuPG om bestanden te versleutelen; downloadt hacking-tools om in de cache van de browser opgeslagen aanmeldreferenties te stelen; gebruikt sDelete 16 keer om te voorkomen dat slachtoffers bestanden herstellen via een back-up; richt zich vooral op Russen
Wijzigt namen van bestanden in {versleutelde bestandsnaam}.xtbl; steelt IP-adressen
GulCrypt TROJ_GULCRYPT.A
Maakt gebruik van .RAR om gearchiveerde bestanden met een wachtwoord te versleutelen; wachtwoord wordt met PGP versleuteld
TROJ_CRYPAURA.F
Onderdeel van de Angler-exploitkit
TROJ_CRYPAURA.F
BAT_CRYPVAULT.A
TROJ_CRYPFORT.A
TROJ_CRYPSHED.A
Onderdeel van de Nuclear-exploitkit
Verspreid via spam met een JavaScript™-downloadprogramma
11 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
VOORZIENINGEN
1
2
Nieuwe familie?
Ja
Nee
Gegevens gestolen
Niet van toepassing
C&Ccommunicatie
Nee
3
5
6
Ja
Ja
Computernaam Niet van en GUID toepassing (Globally Unique IDentifier) van computer
IP-adres
In cache van IP-adres browser opgeslagen aanmeldreferenties met een hackingtool die bekend staat als 'Browser Password Dump by Security Xploded' (HKTL_BROWPASS)
Ja (met een Nee in code vastgelegde Command-andControl-server [C&C])
Ja (via Tor2web)
Ja (via Onion City Tor2web)
Ja (via Tor)
Bestandsnaam {gebruikers van losgeldbericht naam}_ bestanden
fud.bmp (als achtergrond)
RED_JE_ BESTANDEN. txt; RED_JE_ BESTANDEN. bmp (als achtergrond)
KLUIS.txt
LEESMIJ{1 t/m 10}. txt
Aan versleutelde bestanden toegevoegde extensienaam
.id-{id-nr.}_fud@ .frtrss india.com*
.ecc
.VAULT
Wijzigt namen van bestanden in {versleutelde bestandsnaam}.xtbl
Verwijdert Nee schaduwkopieën?
Nee
Ja
Ja
Ja
Nee
Aantal aangevallen bestanden
11
102 (dit was 39 bij oudere varianten)
132+
185
15
342
Om losgeld gevraagd
€ 300
€ 500 aan bitcoins (BTC)
1 BTC
1,5 BTC (€ 1000 bij betaling via PayPal)
€ 247 aan BTC (wordt verhoogd na zeven dagen)
Onbekend, aangezien slachtoffers eerst per e-mail contact moeten opnemen met bedreigings actoren; er hebben zich nog geen partijen gemeld die losgeld hebben betaald
Gebruikt Deep Web voor betalingssites
Mail2Tor (Tor‑e-mail service)
Nee (via e-mail)
Tor
Tor
Tor
Nee via e-mail)
Freemiumvoorzieningen?
Ja (via e-mail)
Nee
Ja
Ja
Ja
Nee
.rar
Ja
4
LEES DIT ALS JE JE BESTANDEN TERUG WILT. html
Ja
(* id-nr. verwijst naar het nummer dat slachtoffers identificeert tijdens ontsleutelingstransacties.) Er zijn zes families toegevoegd aan de groeiende lijst met belangrijke crypto-ransomware, met verschillende niveaus op het gebied van vraag, ernst en complexiteit.
12 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal besmettingen met ransomware 20K
13K 8K
12K
Ransomware
9K
10K
6K
6K
Crypto-ransomware
8K
3K
3K
3K
3K
Q2 2014
Q3 2014
Q4 2014
2K
0
Q4 2013
Q1 2014
Q1 2015
Nadat de hoeveelheid ransomware van het eerste tot en met het derde kwartaal van 2014 was afgenomen, wat waarschijnlijk kwam door de arrestatie van de auteur van de Blackhole-exploitkit (Paunch) aan het einde van 2013, is dit proces weer omgedraaid vóór het einde van 2014. (De Blackhole-exploitkit stond bekend als drager voor de verspreiding van ransomware.)
Landen met het grootste aantal ransomware-infecties in Q1 2015 Verenigde Staten Australië Japan Turkije Italië Frankrijk Duitsland India Canada Filipijnen Overige
34% 6% 6% 5% 5% 4% 3% 3% 2% 2% 30%
Het merendeel van de ransomware-infecties vond plaats in de Verenigde Staten. Dit kwam waarschijnlijk doordat er aan het begin van dit jaar nieuwe crypto-ransomware-varianten – zoals CTB-Locker – bij zijn gekomen, die gericht zijn op Amerikaanse burgers.
13 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Belangrijkste ransomware-families
CRYPCTB REVETON KOVTER CRYPWALL RANSOM CRILOCK CRYPTOPHP VIRLOCK MATSNU CRYPTWALL Overige
25% 20% 17% 11% 10% 6% 5% 1% 1% 1% 3%
CRYPCTB is de detectienaam van Trend Micro voor CTB-Locker-varianten, die in de eerste twee maanden van dit jaar een ware plaag vormden voor gebruikers. Deze familie is verantwoordelijk voor 25% van de ransomware-infecties.
Hoewel de arrestatie van Paunch in 2013 leidde tot
Wat nog zorgwekkender was, is dat ransomware
een daling van het aantal ransomware-infecties,
niet meer alleen een gevaar vormde voor
heeft dit incident andere cybercriminelen er niet
consumenten, maar ook voor ondernemingen.
van weerhouden om nog schadelijkere varianten
CryptoFortress, een imitatie van CryptoLocker
van de bedreiging te verspreiden. Nu hebben
(TROJ_CRYPFORT.A),
gebruikers dus te maken met nog schadelijkere
gedeelde mappen versleutelen.10 Tegelijkertijd
ransomware-varianten.
kon CRYPWEB webserverdatabases versleutelen.11
9
Ondernemingen
moeten
kon
bestanden
ransomware
in
serieus
nemen als bedreiging voor hun infrastructuur en omzet.
14 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal ransomware-infecties per segment in Q4 2014 en Q1 2015
16.433
15.532
Q4 2014
Q1 2015
72%
Consumenten
52%
16%
Grote ondernemingen
28%
6% s
Middelgrote en kleine bedrijven (MKB)
14% s
6%
Overige
6%
Het aantal ransomware-infecties dat ondernemingen treft, is in het afgelopen kwartaal bijna verdubbeld. Dit kan worden toegeschreven aan het de stijgende hoeveelheid ransomware die gericht is op bedrijven in plaats van normale gebruikers.
Behalve ondernemingen zijn ook online gamers
te zijn verbeterd. Met CRYPAURA werden
toegevoegd aan de lijst met doelwitten van crypto-
bijvoorbeeld in totaal 102 bestanden versleuteld,
ransomware. Teslacrypt (TROJ_CRYPTESLA.A)
terwijl dit aantal vóór die tijd beperkt bleef tot 39.
slaagde erin game- en softwaregegevens van Steam®, alsook documenten en media en back-
Ransomware lijkt wel wat op FAKEAV, omdat
upbestanden van gebruikers te versleutelen.12,
het bijna iedereen zoveel schrik aanjoeg dat de
Behalve gamers zijn zelfs politieagenten in
prijs om weer toegang te krijgen tot computers en
Massachusetts gedupeerd. Zij moesten tot wel
bestanden zonder aarzelen werd betaald. De tijd
€ 500 aan losgeld betalen, alleen maar om weer
zal uitwijzen of ransomware evenveel problemen
toegang te krijgen tot hun versleutelde bestanden.14
zal opleveren als FAKEAV. Terwijl voor de
13
bestrijding
van
FAKEAV
voorlichting
van
Ook gebruikers uit Australië en Nieuw-Zeeland
gebruikers een zeer effectief middel bleek te
(ANZ) zijn slachtoffer geworden van ransomware-
zijn – zolang gebruikers irritante pop-upberichten
aanvallen. TorrentLocker-aanvallen, zoals die
negeerden, liepen ze geen gevaar – geldt dit
in januari van dit jaar, verspreidden zich gestaag
helaas niet voor ransomware. Ransomware biedt
van de ene markt naar de andere. Ook andere
gebruikers geen keus. Hun enige hoop is dat
crypto-ransomware-varianten die in het afgelopen
versleutelde bestanden kunnen worden hersteld
kwartaal werden gesignaleerd, bleken aanzienlijk
vanaf beveiligde back-uplocaties.
15 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
“Crypto-ransomware is voor cybercriminelen een geweldige manier om munt te slaan uit aanvallen. De bedenkers van de eerste varianten verdienden miljoenen euro's in slechts een paar maanden tijd. Het feit dat ransomware eenvoudig kan worden omgezet in crypto-ransomware – door crypto-bibliotheken toe te voegen – heeft mogelijk bijgedragen aan de groei van deze bedreiging. Crypto-algoritmen zijn onomkeerbaar. Slachtoffers die geen back-ups maken, hebben dan geen andere keus dan te betalen om hun belangrijke bestanden terug te krijgen.”
Anthony Melgarejo, Threat Response Engineer
16 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Macromalware, oud maar nog steeds effectief Mogelijk is de heropleving van macromalware voor cybercriminelen hun manier om te profiteren van de onwetendheid bij gebruikers. Tenslotte begrijpen maar heel weinig gebruikers wat macro's zijn en hoe ze werken. Richting het einde van 2014 is een heropleving van macromalware gesignaleerd, zoals blijkt uit de toename van de hoeveelheid spam met bijlagen vol schadelijke macro's en uit de opkomst van nieuwe varianten. Macromalware maakt vaak gebruik van veelvoorkomende woordgroepen en populaire zoektermen om doelwitten ertoe over te halen ze te downloaden en uit te voeren.15 Zelfs de beruchte malware voor online bankieren VAWTRAK maakte gebruik van schadelijke macro's om computers te infecteren, terwijl ze hiervoor normaal gesproken heel andere methoden gebruikten. Er werd spam gebruikt die ontvangers ertoe aanzette macro's in te schakelen waarmee ze speciaal ontwikkelde Word-bestandsbijlagen konden weergeven. Als ze dit deden, werd er macromalware (W2KM_ VLOAD.A) uitgevoerd, die weer VAWTRAK-varianten downloadde.16 Andere voorbeelden van bedreigingen die voorheen macromalware gebruikten als infectievector, zijn de data stealers DRIDEX en ROVNIX.17, 18 Mogelijk vertrouwden cybercriminelen erop dat gebruikers zich niet bewust waren van deze gevaren en wordt het succes van macromalware-aanvallen hierdoor verklaard. Ze maakten misbruik van het feit dat gebruikers geen idee hebben wat macro's zijn en wat ze doen. Dus wanneer hun gevraagd wordt macro's in te schakelen om bijlagen bij zeer overtuigende spam te kunnen bekijken, doen ze dat ook. Macro's worden als aanvalsvector steeds populairder doordat traditionele anti-malware oplossingen hiermee kunnen worden omzeild. Aangezien voor de uitvoering van macromalware handmatige interventie vereist is, kan de bedreiging mogelijk niet effectief worden geneutraliseerd met sandboxingtechnologieën. Gebruikers van
oplossingen voor het scannen van e-mails zijn mogelijk minder gevoelig voor macromalwareinfecties. Dit komt doordat met deze oplossingen uitvoerbare bestanden worden opgespoord in plaats van dat er wordt gescand op ingesloten schadelijke macro's die eenvoudig kunnen worden verborgen en dus niet worden gevonden door antimalwareoplossingen.
Zo werkt macromalware
Bij spam wordt gebruikers gevraagd bijlagen te downloaden en te openen, die meestal leeg zijn of alleen onleesbare inhoud bevatten Met berichten wordt ontvangers gevraagd macro's in te schakelen om inhoud weer te geven, en deze berichten bevatten ook de instructies die ze hiervoor nodig hebben De schaderoutine wordt uitgevoerd zodra de macro is ingeschakeld
Social engineering speelde een grote rol bij recente macromalware-aanvallen. Gebruikers werden ertoe verleid macro's in te schakelen waarmee ze bijlagen konden bekijken, zonder dat ze wisten dat er op de achtergrond schadelijke routines werden uitgevoerd.
17 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Nieuwe macromalware gevonden per Q1 2015
436
500
250
180
79 29 0
2011
2012
19
2013
2014
2015
Sinds 2014 beleeft macromalware een heropleving. Zelfs het Trojaanse paard voor bankieren VAWTRAK maakt hier nu gebruik van.
Aantal besmettingen met macromalware per Q1 2015 93K
100K
48K 50K
32K
0
20K
22K
Q1
Q2
2014
Q3
Q4
Q1 2015
Het aantal macromalware-infecties stijgt continu sinds het eerste kwartaal van 2014. Dit kan worden toegeschreven aan de opkomst van nieuwe varianten en de stijging van de hoeveelheid spam met bijlagen die vol zitten met schadelijke macro's.
18 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Landen met het grootste aantal macromalware-infecties in Q1 2015
China Verenigde Staten Verenigd Koninkrijk Japan Australië Frankrijk Italië Taiwan Duitsland India Overige
22% 14% 12% 7% 5% 5% 4% 3% 3% 2% 23%
China stond in de eerste drie maanden van 2015 boven aan de lijst met landen met het grootste aantal computers dat met macromalware was geïnfecteerd. Hoewel Microsoft macro's standaard heeft uitgeschakeld in Office, lopen gebruikers van oudere versies nog steeds risico.
Meest voorkomende macromalwarevarianten in Q1 2015
W97M_MARKER.BO 8% X97M_OLEMAL.A 5% W2KM_DLOADR.JS 3% X2KM_DLOADR.C 2% W97M_SATELLITE 2% W97M_DLOADR.XTRZ 2% W2KM_DLOAD.NB 2% W97M_DLOADER.GHV 2% X2KM_DLOAD.A 2% X97M_LAROUX.CO 2% Overige 70%
19 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Toepassingen die het meest werden gebruikt als drager van schadelijke macro's in Q1 2015
Word
75%
Excel®
21%
PowerPoint®
1%
Overige
3%
Microsoft Word-documenten en Excel-spreadsheets waren voor cybercriminelen de favoriete dragers van macro's.
Populairste macromalwarefamilies in Q1 2015
DLOADR DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Overige
30% 10% 8% 8% 6% 5% 4% 4% 3% 2% 20%
Macromalware is een favoriete aanvalsvector geworden omdat de standalone anti-malwareoplossingen die op de meeste computers zijn geïnstalleerd, hiermee eenvoudig kunnen worden omzeild. De populairste macromalwarefamilies waren downloadprogramma's. Dit kan erop duiden dat andere malware deze programma's gebruikt om systemen te infecteren.
20 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
“De heropleving van macromalware kan worden toegeschreven aan het feit dat deze malware gebruikmaakt van effectieve lokmiddelen op het gebied van social engineering, en aan het feit dat macromalware eenvoudig verborgen kan worden. Normaal gesproken wordt deze malware ingesloten in Office-bestanden, die minder streng worden gecontroleerd door oplossingen voor het scannen van malware. Het is zelfs zo dat macro's kunnen worden ingeschakeld via batch- en scriptbestanden, die ook niet kunnen worden opgespoord door anti-malwareoplossingen.”
Anthony Melgarejo, Threat Response Engineer
21 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Tien jaar oud FREAK-beveiligingslek leverde problemen op voor patchbeheer FREAK en GHOST joegen gebruikers van kwetsbare computers en toepassingen de stuipen op het lijf. Deze lekken brachten voor IT-beheerders problemen op het gebied van patchbeheer met zich mee door het brede scala aan platforms en apparaten dat moet worden beveiligd. Naar verwachting zullen in de loop van het jaar nog meer lekken in platforms en apparaten komen bovendrijven, waarvan misbruik kan worden gemaakt. FREAK – wat staat voor 'Factoring RSA Export
en Apple Transport Layer Security (TLS)/Secure
Keys' – is een beveiligingsprobleem dat getroffen
Sockets Layer (SSL)-clients bleken gevoelig te zijn
beveiligde sites en toepassingen ertoe dwingt
voor
een zwakkere versleuteling te gebruiken. Dit
Getroffen Windows®-gebruikers liepen het risico
probleem werd in maart van dit jaar ontdekt. Alle
dat hun vertrouwelijke gegevens gestolen werden.20
MiTM-aanvallen
(Man-in-The-Middle).19
OpenSSL-versies die zijn uitgebracht vóór 1.0.1k, Momenteel kwetsbaar
Verandering sinds 3 maart
HTTPS-servers onder de 1 miljoen populairste domeinnamen volgens Alexa
8,5%
Gedaald, dit was 9,6%
HTTPS-servers met door browser vertrouwde certificaten
6,5%
Gedaald, dit was 36,7%
Alle HTTPS-servers
11,8%
Gedaald, dit was 26,3%
Het aantal servers dat is getroffen door het FREAK-beveiligingsprobleem is gedaald sinds de ontdekking van het probleem in maart van dit jaar.21
GHOST, een probleem met de bufferoverloop
gemaakt. Deze zwakke plekken kunnen immers
in Linux™ (glibc of de GNU C Library-versies
belangrijke bedrijfsgegevens die liggen opgeslagen
vóór 2.2), stak ook in januari van dit jaar de kop
in
op. Het probleem wordt geactiveerd wanneer
brengen.
kwetsbare
back-enddatabases,
in
gevaar
gebruikers bepaalde functies in glibc aanroepen, waarmee arbitraire code kan worden uitgevoerd.
Trend Micro Deep Security-gegevens hebben
Gelukkig is het niet eenvoudig om misbruik van dit
uitgewezen dat met behulp van cross-site scripting
probleem te maken en kan slechts een heel klein
(XSS) en SQL-injectie uitgevoerde aanvallen het
aantal systemen hierdoor worden getroffen.22
meest werden gebruikt voor webtoepassingen op bedrijfsservers. OWASP-gegevens (Open Web
Net als kwetsbaarheden aan client- en server
Application Security Project) ondersteunen deze
zijde moeten zwakke plekken in webtoepassingen
bevinding.
worden gepatcht voordat hiervan misbruik wordt 22 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Belangrijkste kwetsbaarheden in webtoepassingen die in Q1 2015 zijn gevonden SQL-injectie
KRITIEK
Vormt een ernstige bedreiging voor elke databasegestuurde webtoepassing; is afkomstig uit niet of onvoldoende gevalideerde invoer die gebruikers via geïnfecteerde webtoepassingen naar databaseservers hebben doorgestuurd in de vorm van SQL-opdrachten; kan aanvallers in staat stellen gegevens uit databases te lezen, te wijzigen, te verwijderen of hier iets aan toe te voegen, wat desastreuze gevolgen kan hebben
Niet-persistente XSS Hiermee kunnen aanvallers schadelijke scripts (meestal aan client-zijde) injecteren in webtoepassingen; XSS maakt misbruik van toepassingen die door gebruikers aangeleverde gegevens niet valideren, filteren of versleutelen; hierbij worden slachtoffers er vaak toe verleid om te klikken op legitiem ogende koppelingen die in werkelijkheid extra gegevens verstrekken zodat er aanvallen kunnen worden uitgevoerd
Maakt misbruik van een ontoereikende beveiligingsvalidatie in webtoepassingen, zodat aanvallers toegang tot bestanden kunnen krijgen via systeempaden met beperkte toegang door te navigeren door de bestandssystemen van de servers; staat ook bekend als 'dot dot slash'- of 'directory traversal'-aanval
HOOG
Pad doorlopen
Mogelijk gevoelige resource gevonden Hiermee kunnen aanvallers informatie verkrijgen over resources die al dan niet zijn gekoppeld aan de structuur van een toepassing (oude reservekopie, serverconfiguratie, server-/databaselogbestand, databaseconfiguratie, databasedumps of gevoelige toepassingsbestanden) om meer geavanceerde aanvallen uit te voeren
Directory-indexering
Gedetailleerde berichten over toepassingsfouten Hiermee krijgen aanvallers toegang tot gevoelige informatie, met inbegrip van interne webtoepassings logica, die is gebundeld met HTML-codes die gebruikers zien wanneer er fouten of uitzonderingen optreden in de webtoepassing
GEMIDDELD
Geldt voor webservers waarvan de indexpagina van de virtuele (sub)directory aan gebruikersagents wordt weergegeven; aanvallers kunnen hiermee nog meer aanvallen uitvoeren door de directorystructuur en de inhoud van kwetsbare webtoepassingen te analyseren of zich zonder toestemming toegang te verschaffen tot directorybestanden
Gevoelige formuliergegevens verzonden zonder SSL Hierdoor kunnen aanvallers de hand leggen op gevoelige gegevens die worden verzonden via toepassingen die geen SSL gebruiken
Broncode include-bestanden onthuld Hiermee kunnen aanvallers zich toegang verschaffen tot gevoelige informatie over de toepassingslogica in broncodes en deze misbruiken
Wordt veroorzaakt door het feit dat er onverwachte uitvoer is gegenereerd; wanneer webtoepassingen lokale paden onthullen, kunnen aanvallers een beeld krijgen van de webrootmappen, waardoor ze op het doelwit afgestemde aanvallen kunnen bedenken om toegang te krijgen tot interne systeembestanden
LAAG
Lokaal pad onthuld
Intern IP-adres weggelekt Hierdoor kan informatie over de interne IP-adressering van het netwerk vrijkomen, die weer kan worden gebruikt om op het doelwit afgestemde aanvallen te bedenken Niet-persistente XSS is het meest voorkomende beveiligingsprobleem voor webtoepassingen. Volgens OWASP “treden XSS-problemen op wanneer een toepassing niet-vertrouwde gegevens ophaalt en verzendt naar een webbrowser met ontoereikende validatie.” Aanvallers kunnen dan mogelijk schadelijke scripts uitvoeren door gebruikers ertoe te verleiden te klikken op speciaal ontwikkelde koppelingen. 23 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Deep Security-gegevens hebben ook uitgewezen
webontwikkeling en soms als programmeertaal
dat beveiligingsproblemen op PHP-servers het
voor algemene doeleinden. Voor het merendeel
meest voorkwamen bij organisaties. Het is zelfs
van deze beveiligingsproblemen dat als 'hoog' tot
zo dat alle 10 grootste beveiligingsproblemen
'kritiek' werd geclassificeerd, zijn patches toegepast
op servers waren gerelateerd aan scripttalen
in de nieuwste PHP-versies.
aan PHP-serverzijde die zijn ontworpen voor
Belangrijkste kwetsbaarheden van platforms die in Q1 2015 zijn gevonden Ernst beoordeling
Betrokken software
CVE-20122688
Kritiek
PHP
Niet nader omschreven
Upgrade naar PHP 5.3.15 of 5.4.5 of hoger
CVE-20122376
Kritiek
PHP
Hiermee kunnen aanvallers arbitraire code uitvoeren
Er moeten nog patches of upgrades worden uitgebracht om dit probleem te verhelpen
CVE-20113268
Kritiek
PHP
Hiermee kunnen aanvallers arbitraire code uitvoeren of geïnfecteerde toepassingen laten crashen
Upgrade naar PHP 5.3.7 of hoger
CVE-20149427
Hoog
PHP
Hiermee kunnen aanvallers geïnfecteerde toepassingen laten crashen, gevoelige informatie ophalen uit het php-cgi-procesgeheugen of onverwacht code uitvoeren
Neem contact op met leveranciers van toepassingen voor informatie over het verhelpen van dit probleem
CVE-20131635
Hoog
PHP
Hiermee kunnen aanvallers toegangsbeperkingen omzeilen
Upgrade naar PHP 5.3.22 of 5.4.13 of hoger
CVE-20111092
Hoog
PHP
Hiermee kunnen aanvallers geïnfecteerde toepassingen laten crashen
Upgrade naar PHP 5.3.6 of hoger
CVE-20121823
Hoog
PHP
Hiermee kunnen aanvallers arbitraire code uitvoeren
Upgrade naar PHP 5.4.2 of hoger
CVE-20122311
Hoog
PHP
Hiermee kunnen aanvallers arbitraire code uitvoeren
Upgrade naar PHP 5.3.13 of 5.4.3 of hoger
CVE-20122386
Hoog
PHP
Hiermee kunnen aanvallers geïnfecteerde toepassingen laten crashen
Upgrade naar PHP 5.3.14 of 5.4.4 of hoger
CVE-20111153
Hoog
PHP
Hiermee kunnen aanvallers gevoelige informatie ophalen en DoS-aanvallen (Denial-of-Service) plannen
Upgrade naar PHP 5.3.6 of hoger
CVE-ID
Beschrijving
Oplossing
PHP was in het afgelopen kwartaal het meest kwetsbare platform, wat bleek uit de problemen die werden aangetroffen in verschillende versies van de scripttaal. Zowel gebruikers als IT-beheerders moeten hun toepassingen bijwerken met de nieuwste patches of een upgrade uitvoeren naar de nieuwste versie. Graag wijzen wij u erop dat Deep Security oplossingen biedt waarmee gerelateerde kwetsbaarheden kunnen worden verholpen. 24 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Nu er steeds meer kwetsbaarheden worden
sprakelijkheid voor het onthullen of patchen van
ontdekt in open-source-besturingssystemen en
problemen is mogelijk een groot onderliggend
-toepassingen, zal het voor IT-beheerders steeds
probleem dat het nog lastiger maakt om alle
lastiger worden om de risico's die hiermee gepaard
potentieel
gaan te beperken. Het gebrek aan directe aan
toepassingen te beveiligen.
kwetsbare
besturingssystemen
en
“De FREAK-aanval herinnerde ons er voor de zoveelste keer aan dat er altijd weer nieuwe gevaren dreigen, hoe goed beveiligd we ook denken dat onze systemen en netwerken zijn. Voor verouderde systemen moet zo mogelijk een upgrade worden uitgevoerd. Bedrijven moeten ervoor zorgen dat ze beschikken over de broncodes van aangepaste toepassingen die externe leveranciers voor ze bouwen. Net als Heartbleed toont ook FREAK weer aan hoe kwetsbaar OpenSSL is. Het is een verouderde technologie die moet worden vervangen door veel betere versleutelingsbibliotheken. Organisaties die vertrouwen op open-source-software en -bibliotheken moeten hun beveiligingsbeleidslijnen evalueren en aanscherpen. Ze moeten onder andere beveiligingsoplossingen gebruiken waarmee de reputatie van IP-adressen en domeinen kan worden beoordeeld. Verder moeten ze netwerkverkeer bewaken met inbreukdetectiesystemen en gebruikmaken van inbraakpreventie om bekende en onbekende bedreigingen te blokkeren.”
Pawan Kinger, Director of Deep Security Labs
25 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Talloze gegevensinbreuken in gezondheidszorg, andere branches verlamd door PoS-malware-aanvallen Het feit dat de beveiliging ontoereikend is en dat niet de beste oplossingen worden gebruikt, ondanks de enorme hoeveelheid vertrouwelijke gegevens die worden opgeslagen in de netwerken van dienstverleners op het gebied van gezondheidszorg, kan wel eens de belangrijkste reden zijn waarom deze netwerken een geliefd doelwit zijn geworden van aanvallers. De grote dienstverleners op het gebied van gezondheidszorg Premera Blue Cross en Anthem werden in maart van dit jaar getroffen door gegevensinbreuken in miljoenen financiële en medische dossiers van hun klanten.23 De inbreuk bij Anthem trof naar verluidt 80 miljoen klanten en werknemers van het bedrijf.24 En bij een aanval op Premera Blue Cross, die in januari van dit jaar werd ontdekt, werden de dossiers van 11 miljoen klanten van dit bedrijf gekraakt.
Met deze gegevensinbreuken verdrongen beide dienstverleners de NHS, waarvan meer dan 8,6 miljoen dossiers werden gekraakt, als zwaarst getroffen dienstverlener op het gebied van gezondheidszorg sinds 2011.25 Dienstverleners op het gebied van gezondheidszorg bewaren meer informatie over klanten dan elk ander type organisatie, maar ze zetten niet altijd de meest effectieve middelen in om hun gegevens te beschermen.26
De meest opvallende gegevensinbreuken bij dienstverleners op het gebied van gezondheidszorg van 2009 tot 2015 Virginia Department of Health | V.S.
National Health Services | V.K.
Dossiers van patiënten, recepten
Niet-versleutelde dossiers van patiënten 2009
Verloren dossiers: 8,3 miljoen
Verloren dossiers: 8,6 miljoen 2010
Advocate Medical Group | V.S. Namen, adressen, geboortedatums, burgerservicenummers
Community Health Systems | V.S. 2011
Vijf jaar aan namen, adressen, burgerservicenummers en andere gegevens van patiënten
Verloren dossiers: 4 miljoen
2012
Verloren dossiers: 4,5 miljoen
Premera Blue | V.S.
2013
Anthem | V.S.
Namen, geboortedatums, e-mailadressen, adressen, telefoonnummers, burgerservicenummers, ID-nummers, gegevens over bankrekeningen, declaraties en klinische status Verloren dossiers: 11 miljoen
2014
Namen, geboortedatums, ID-nummers, burgerservicenummers, adressen, telefoonnummers, e-mailadressen, arbeidsgegevens
2015
Verloren dossiers: 80 miljoen
De gegevensinbreuken bij Anthem en Premera, die beide aan het begin van dit jaar werden ontdekt, zijn de ernstigste gevallen tot nu toe.27 De laatste inbreuk van een dergelijke omvang vond plaats in 2011, toen er bij de NHS laptops werden gestolen die mogelijk onversleutelde patiëntdossiers bevatten. (Opmerking: alleen organisaties waarvan minimaal 4 miljoen dossiers verloren gingen, zijn in dit overzicht meegenomen.) 26 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Hoeveel van de gegevensinbreuken van 2005 t/m 2014 waren gerelateerd aan de gezondheidszorg?
10%
14%
14%
15%
2005
2006
2007
2008
14%
25%
24%
36%
2009
2010
2011
2012
44%
43%
2013
2014
Aan de gezondheidszorg gerelateerde gegevensinbreuken
Het aantal dienstverleners op het gebied van gezondheidszorg dat slachtoffer werd van een inbreuk, was in 2014 viermaal zo groot als in 2005. De gezondheidszorg werd tussen 2012 en 2014 zelfs nog harder getroffen dan het bedrijfsleven en de militaire en de overheidssector.28
In de detailhandel en de dienstverlening bleef het
Gebruikers bleven last hebben van een breed scala
aantal PoS RAM-scrapers gestaag groeien. Door
aan oude en nieuwe varianten van PoS RAM-
de zwakke beveiliging van PoS-systemen groeiden
scrapers. FighterPoS kon in februari van dit jaar
RAM-scrapers uit tot een prima instrument om
worden toegevoegd aan de lijst met beruchte
netwerken mee te kraken, al lukte het niet altijd om
PoS-malware, terwijl de oude bekende BlackPOS-
gerichte aanvallen uit te voeren. Met PoS-malware
malware bedrijven problemen bleef bezorgen. Deze
slaagden aanvallers erin onmiddellijk resultaat te
twee malwareproducten namen een aanzienlijk
boeken in de vorm van enorme winsten.
deel van het totaal aantal infecties voor hun rekening.29
27 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal door PoS RAM-scrapers geïnfecteerde systemen 116 259
300
120
86 65
156 124
150
123
60
73
0
Q1
Q2
2014
Q3
Q4
Q1
0
JAN
FEB
MRT
2015
Sinds we vorig jaar begonnen PoS RAM-scraperdetecties bij te houden, is het aantal meer dan verdubbeld. Dit kan worden toegeschreven aan verbeteringen aan bestaande PoS-malware, zoals bij BlackPOS.30
Landen met het grootste aantal PoS RAM-scraperinfecties in Q1 2015 Verenigde Staten Australië Taiwan Oostenrijk Italië Brazilië Canada Filipijnen Frankrijk Japan Overige
23% 10% 8% 7% 5% 4% 4% 4% 3% 2% 30%
Het grootste aantal PoS-malware-aanvallen vond plaats in de Verenigde Staten, omdat hier de meeste potentiële slachtoffers te vinden zijn. 80% van de bevolking van het land maakte continu gebruik van betaalkaarten in plaats van contant geld.31 28 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Populairste PoS RAM-scraperfamilies in Q1 2015 POCARDL DEXTR POSLOGR POSNEWT JACKPOS POCARDLER POSLUSY ALINAOS POSHOOK ALINA Overige
20% 14% 11% 7% 7% 6% 6% 5% 5% 5% 14%
POCARDL, waarmee de gegevens van betaalkaarten werden gestolen, werd voor het eerst gesignaleerd in oktober 2012. In de eerste drie maanden van 2015 was dit de belangrijkste PoS RAM-scraperfamilie.32
“PoS-malware gaat een belangrijke rol spelen in de beveiligings branche, net als scareware, FAKEAV en ransomware. Dit geldt vooral voor landen zoals de Verenigde Staten, waar de meeste mensen liever betaalkaarten gebruiken dan contant geld.”
Jay Yaneza, Cyberthreat Researcher
29 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Oude bedreigingsactoren staken weer de kop op met nieuwe tools, tactieken en procedures voor gerichte aanvalscampagnes Rocket Kitten en de bedenkers van Operation Pawn Storm hebben hun oog laten vallen op nieuwe doelwitten, wat bewijst dat gerichte aanvallen nog altijd worden gebruikt en zelfs verder worden ontwikkeld. Operation Pawn Storm was een hardnekkige economische en politieke cyberspionage-operatie die kwetsbare iOS™-apparaten gebruikte om bij netwerken binnen te dringen.33 Hoewel het niet de eerste campagne was die gebruikmaakte van mobiele malware om gerichte aanvallen uit te voeren, was Pawn Storm wel de eerste campagne die specifiek gericht was op iOS. De personen die achter deze campagne zaten, gebruikten twee
schadelijke iOS-apps – XAgent (IOS_XAGENT.A) en een nepversie van MadCap (IOS_XAGENT.B) – die vergelijkbaar waren met SEDNIT-varianten op Windows-computers. Conform de continue verbeteringen op het gebied van gerichte aanvallen verbeterde ook Rocket Kitten hun tools, tactieken en procedures (TTP's).34 De personen die achter de operatie zaten, gebruikten OneDrive® om WOOLERG-keyloggers te hosten.
Belangrijke gerichte aanvallen met mobiele malware sinds 2011 Pawn Storm
Wordt in verband gebracht met 90 aanvallen die waren gericht op verschillende branches en/of gemeenschap pen in Japan en India; maakte gebruik van RAT-achtige (Remote-Access-Tool) Android™-malware waarmee informatie werd verzameld en bestanden werden geüpload naar of gedownload van geïnfecteerde apparaten
Was gericht op Tibetaanse en Oeigoerse activisten; maakte gebruik van social engineering-trucs om misbruik te maken van kwetsbare Windows- en Mac OS X-systemen; verspreidde ANDROIDOS_CHULI.A via gehackte e-mailaccounts van activisten
2013
Chuli
2012
Luckycat
2011
Bij economische en politieke spionage-aanvallen door een groep bedreigingsactoren die zich voornamelijk richtten op militair en ambassadepersoneel en personeel van defensieaannemers uit de Verenigde Staten en de landen van hun bondgenoten; werd als eerste specifiek gebruikgemaakt van iOS-malware om bij netwerken binnen te dringen
Xsser mRAT
Regin
2014
Men vermoedt dat deze campagne een initiatief was van Chinees sprekende aanvallers, dat gericht was tegen Chinese demonstranten; Xsser mRAT (ANDROIDOS_Code4HK.A) is malware die geschikt is voor meerdere platforms en die Android- en iOS-apparaten heeft geïnfecteerd; met ANDROIDOS_Code4HK.A werden de sms'jes, e-mails, chatberichten, locatiegegevens, gebruikersnamen en wachtwoorden, logbestanden met oproepgegevens en lijsten met contactpersonen van de slachtoffers gekraakt
Was gericht op overheden, financiële instellingen, telecombedrijven, onderzoeksorganisaties en andere entiteiten in verschillende landen; gebruikte de besturingseenheden van GSM-basisstations (Global System for Mobile Communications) om de referenties te verzamelen die ze nodig hadden om het GSM-netwerk van landen in het Midden-Oosten te manipuleren
Aanvallers richten zich op mobiele apparaten omdat iedereen deze gebruikt. Onveilige mobiele gewoonten die mensen er in hun vrije tijd op na houden, kunnen eenvoudig hun intrede doen in de werkomgeving dankzij de BYOD-trend (Bring-Your-Own-Device).35 30 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Hoe de mensen achter Pawn Storm de beveiligingsmaatregelen voor app stores van grote ondernemingen omzeilden
Aanvallers ontwikkelen malware die is ondertekend met een certificaat voor grote ondernemingen
Aanvallers hosten de malware op een server en gebruiken itms-services om een installatiekoppeling te genereren
De koppeling wordt verzonden naar specifieke personen die er met sluwe social engineeringtactieken toe worden verleid erop te klikken
De malware wordt geïnstalleerd zodra er op de koppeling is geklikt
Hoewel nog altijd onduidelijk is hoe XAgent-malware precies wordt geïnstalleerd, werkt deze malware zelfs op apparaten waarop geen jailbreak is toegepast, als de apps die als drager fungeren zijn ondertekend met het certificaat van Apple voor grote ondernemingen. Lokmiddelen op het gebied van social engineering kunnen de kans dat een apparaat wordt geïnfecteerd ook vergroten.
31 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Exploitkits werden steeds geavanceerder Exploitkits voegen continu exploits voor steeds meer kwetsbaarheden toe aan hun arsenaal. Zo worden ze steeds interessanter voor alle typen aanvallers die altijd uitkijken naar mogelijkheden om meer waar voor hun geld te krijgen. Hun betrokkenheid bij malvertentie-aanvallen in het afgelopen kwartaal wees uit dat dit ook een prima methode was om exploits uit te voeren. Meer dan 70 'in het wild' aangetroffen exploitkits
Flash. En het was de Nuclear-exploitkit die het
kunnen misbruik maken van meer dan 100
meest werd gebruikt in de eerste drie maanden
kwetsbaarheden. Sinds de arrestatie van Paunch
van 2015.
36
in 2013 is het aantal exploitkits dat wordt gebruikt, aanzienlijk gedaald. Hoewel exploitkits dus niet op
Japan was het favoriete land van de aanvallers, zoals
grote schaal worden ingezet, zijn ze wel bijzonder
bleek uit verschillende malvertentie-aanvallen die
geavanceerd. Exploitkits worden immers continu
vooral gericht waren op Japanse gebruikers.37
bijgewerkt en kunnen daardoor misbruik maken Net als voorheen bevatten de meest populaire kits
van steeds meer kwetsbaarheden.
exploits voor Adobe Flash en Internet Explorer. Dit De Hanjuan-exploitkit werd bijvoorbeeld ingezet
komt waarschijnlijk door het feit dat deze software
bij de eerder genoemde zero-day-aanval via Adobe
door heel veel mensen wordt gebruikt.
Kwetsbaarheden waarvan gebruik wordt gemaakt door exploitkits Nuclear Internet Explorer
CVE-2013-2551
Microsoft Silverlight®
CVE-2013-0074
Adobe Flash
CVE-2014-0515 CVE-2014-0569 CVE-2014-8439 CVE-2015-0311
Adobe Acrobat® Reader
CVE-2010-0188
Oracle JavaTM
CVE-2012-0507
XMLDOM ActiveX
CVE-2013-7331
Sweet Orange CVE-2013-2551 CVE-2014-0322 CVE-2014-6332
CVE-2014-0515 CVE-2014-0569
FlashPack CVE-2013-2551 CVE-2013-3918 CVE-2014-0322
CVE-2013-0634 CVE-2014-0497 CVE-2014-0515 CVE-2014-0569
Rig
Angler
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074
CVE-2013-0074
CVE-2014-0569 CVE-2015-0311
CVE-2014-0515 CVE-2014-0569 CVE-2015-0311
Magnitude
CVE-2013-2551
CVE-2014-0515
Fiesta
Styx
CVE-2013-2551
CVE-2013-2551
CVE-2013-0074
CVE-2013-0074
CVE-2014-0497 CVE-2014-0569 CVE-2015-0311
CVE-2014-0515
Hanjuan
CVE-2015-0313
CVE-2010-0188
CVE-2013-2460 CVE-2013-5471
CVE-2013-2465
CVE-2013-7331
CVE-2013-7331
CVE-2012-0507 CVE-2014-2465
CVE-2013-7331
Alle kits die bij de belangrijkste aanvallen uit het eerste kwartaal van 2015 werden gebruikt, bevatten Adobe Flash-exploits. 32 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal keren dat gebruikers zich toegang verschaften tot servers met exploitkits in Q4 2014 en Q1 2015 Sweet Orange
Angler
Q4 2014
1.077.223
363.982
155.816
140.604
14.671
26.943
25.133
Geen 1.804.372 gegevens
Q1 2015
264.897
590.063
255.593
42.424
740.037
321.712
61.952
103.924 2.380.602
-75,4%
62,1%
64,0%
-69,8%
4944,2%
1094%
146,5%
Toename
Magnitude
Rig
Nuclear
Neutrino
Fiesta
Hanjuan
Geen gegevens
Totaal
31,9%
Exploitkits waartoe gebruikers zich het vaakst toegang verschaften in Q1 2015
Nuclear Angler Neutrino Sweet Orange Magnitude Hanjuan Fiesta Rig
31% 25% 13% 11% 11% 4% 3% 2%
In dit kwartaal is het percentage aan exploitkits gerelateerde activiteiten met 30% gestegen. De Nuclear-exploitkit noteerde het hoogste aantal hits van gebruikers, wat waarschijnlijk te maken heeft met de gesignaleerde gerelateerde malvertentie-aanvallen. Het dalende aantal hits voor de Sweet Orange-kit kan daarentegen worden toegeschreven aan het feit dat bepaalde advertentienetwerken schadelijke advertenties van hun platforms hebben verwijderd.
33 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Landen die het hardst zijn getroffen door aanvallen waarbij exploitkits betrokken waren Japan Verenigde Staten Australië Canada Denemarken Frankrijk Verenigd Koninkrijk Italië Brazilië Spanje Overige
52% 31% 5% 1% 1% 1% 1% 1% 1% 1% 5%
Japan was het land dat het hardst werd getroffen. Dit kwam waarschijnlijk door het grote aantal malvertentie-aanvallen van begin dit jaar waarbij exploitkits betrokken waren en die specifiek gericht waren op Japanse gebruikers.
Hoewel het aantal nieuwe exploitkits daalde, bleef in het afgelopen kwartaal een aanzienlijk aantal oude kits actief. Is dit misschien de stilte voor de storm? Houden de ontwikkelaars van exploitkits zich gedeisd om hun producten in alle rust te verbeteren voordat ze ermee de markt op gaan?
Dagelijkse exploitkit-activiteit in Q1 2015 5
100K
Nuclear Angler
4
Neutrino Sweet Orange
2
50K
Magnitude Hanjuan
3
Fiesta
1
Rig 0
JAN
FEB
MRT
(Opmerking: zie voor meer informatie over de pieken in de grafiek hierboven de bijbehorende nummers in de tekst eronder.) Dat de Sweet Orange-exploitkit (1) minder vaak werd gebruikt, kwam doordat AOL actie ondernam om malvertenties van zijn platform te verwijderen. Angler (2 en 4) en Hanjuan (2) werden gebruikt om computers met BEDEP-zero‑day-malware te infecteren van eind januari tot en met begin februari. Dit is een van de redenen waarom gebruikers zich vaker toegang verschaften tot hun servers. De Nuclear-exploitkit (3 en 5) werd daarentegen gebruikt bij een malvertentie-aanval via pornografische sites. 34 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
“Bij steeds meer aanvallen wordt gebruikgemaakt van malvertenties in plaats van aangetaste sites of spam. Door misbruik te maken van legitieme advertentienetwerken slaagden aanvallers er immers in hun kwade bedoelingen te maskeren. Aanvallers verbeteren hun tools en tactieken continu om de effectiviteit van hun campagnes te vergroten en hun omzet te verhogen. De kans is groot dat er in de loop van 2015 meer van dergelijke aanvallen zullen worden uitgevoerd.”
Joseph C. Chen, Engineer
35 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Overzicht van bedreigingslandschap Over het algemeen daalde het aantal bedreigingen
door malware, piekte het spamvolume. Dit kan
in vergelijking met het vierde kwartaal van 2014.
erop duiden dat e-mail weer de populairste
Terwijl we gebruikers minder vaak de toegang
infectievector
hoefden te ontzeggen tot schadelijke domeinen
computers te infecteren met oude bedreigingen
en er minder apparaten werden geïnfecteerd
zoals macromalware.
Totaal aantal geblokkeerde bedreigingen in Q1 2015 6 miljard
was
geworden
om
kwetsbare
Opsporingspercentage van Trend Micro: Aantal per seconde geblokkeerde bedreigingen in Q1 2015 2 K/s
1931
5,2
1858
5
miljard
1595
miljard
3,9 miljard 3 miljard
1 K/s
0
0
JAN
FEB
MRT
In het afgelopen kwartaal hebben we gemiddeld 4,7 miljard bedreigingen per maand geblokkeerd. Dit is 1,5 miljard meer dan in het laatste kwartaal van 2014.
JAN
FEB
MRT
We hebben in het afgelopen kwartaal gemiddeld 1800 bedreigingen per seconde geblokkeerd. Dat is 600 bedreigingen per seconde meer dan de eerder behaalde score van 1200 bedreigingen per seconde.
36 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Aantal als spam geblokkeerde query's voor e-mailreputatie in Q1 2015
Aantal geblokkeerde bezoeken van gebruikers aan schadelijke sites in Q1 2015 350 miljoen
5 miljard
4,6
315
miljard
miljoen
4,1 miljard 236
3,3 miljard
2,5 miljard
miljoen
252 miljoen
175 miljoen
0
0
JAN
FEB
JAN
MRT
We hebben ervoor gezorgd dat in totaal 12 miljard e-mails die afkomstig waren van spam versturende IP‑adressen, het postvak IN van gebruikers niet konden bereiken.
FEB
MRT
We hebben in het afgelopen kwartaal meer dan 800 miljoen bezoeken van gebruikers aan schadelijke sites geregistreerd, en dit aantal werd elke maand hoger.
Aantal geblokkeerde schadelijke bestanden in Q1 2015 600 miljoen
522 miljoen
361 300 miljoen
351
miljoen
miljoen
JAN
FEB
0
MRT
We hebben er in het afgelopen kwartaal voor gezorgd dat meer dan een miljard schadelijke bestanden geen apparaten konden infecteren. De hoeveelheid malware is tussen februari en maart van dit jaar bijna verdubbeld.
37 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
De KRYPTIK-familie van Trojaanse paarden,
Veel van de domeinen waartoe we gebruikers
die voornamelijk consumenten dupeerde, is in
in het afgelopen kwartaal het vaakst de toegang
het afgelopen kwartaal toegevoegd aan de lijst
hebben ontzegd, waren adware-gerelateerd. Dit
met de populairste malware. Deze Trojaanse
zou best wel eens verband kunnen houden met de
paarden stonden erom bekend dat gebruikers zo
stijging van het aantal malvertentie-aanvallen die
bang werden gemaakt met waarschuwingen op
is geconstateerd. Incidenteel voerde ook adware de
het scherm dat ze wel moesten mee werken. Met
lijst met mobiele bedreigingstypen aan. In totaal
deze Trojaanse paarden wordt geprobeerd andere
hebben we tot nu toe meer dan 5 miljoen Android-
schadelijke bestanden naar reeds geïnfecteerd
bedreigingen geregistreerd, waardoor we al aardig
computers te downloaden. De KRYPTIK-familie
in de buurt komen van het door ons voorspelde
slaagde er echter niet in SALITY en DOWNAD van
totaal van 8 miljoen aan het einde van 2015.
de twee hoogste posities op de lijst te verdrijven.
Schadelijke domeinen waartoe gebruikers het vaakst de toegang is ontzegd in Q1 2015 Domein
Reden voor toegangsontzegging
files-download-131.com
Downloadt mogelijk ongewenste bestanden (PUA's)38
enhizlitakip.com
Gerelateerd aan een scam voor Turkse Twitter-volgers
cnfg.toolbarservices.com
Gerelateerd aan adware die zich voordoet als browserwerkbalk
s.trk-u.com
Gerelateerd aan adware die zich voordoet als browserwerkbalk
s.ad120m.com
Site waarmee een TROJ_GEN-variant communiceert
sso.anbtr.com
Site waarmee PE_SALITY.RL communiceert
f0fff0.com
Opent pop-uppagina's die adware downloaden
fa8072.com
Opent pop-uppagina's die adware downloaden
creative.ad120m.com
Site waarmee een TROJ_GEN-variant communiceert
lovek.info
Is gerelateerd aan klikfraude De meeste schadelijke domeinen waartoe we in het afgelopen kwartaal gebruikers de toegang hebben ontzegd, waren betrokken bij de plaatsing van adware en waren gerelateerd aan andere scams.
38 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Landen met het grootste aantal schadelijke URL's in Q1 2015
Verenigde Staten Nederland China Rusland Costa Rica Duitsland Verenigd Koninkrijk Portugal Japan Zuid-Korea Overige
29% 7% 6% 3% 2% 1% 1% 1% 1% 1% 48%
De Verenigde Staten bleven de lijst van landen met het grootste aantal schadelijke URL's aanvoeren. Frankrijk en Hongarije moesten hun positie op de lijst afstaan aan Costa Rica en Portugal.
Landen met het grootste aantal gebruikers dat op schadelijke URL's heeft geklikt in Q1 2015 Verenigde Staten Japan Australië Taiwan India China Frankrijk Duitsland Canada Italië Overige
33% 24% 5% 4% 3% 3% 3% 2% 2% 2% 19%
De Verenigde Staten voerden niet alleen de lijst met het grootste aantal schadelijke URL's aan, maar registreerden ook het grootste aantal gebruikers dat op schadelijke koppelingen heeft geklikt.
39 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Populairste spamtalen in Q1 2015 Engels Chinees Duits Japans Russisch Portugees Spaans Pools Frans Italiaans Overige
84,49% 1,86% 1,27% 1,15% 0,70% 0,61% 0,54% 0,43% 0,38% 0,09% 8,48%
Engels bleef de taal die het meest werd gebruikt voor spam.
Landen waarvandaan de meeste spam werd verzonden in Q1 2015 Verenigde Staten Rusland China Japan Vietnam Italië Spanje Argentinië Iran Duitsland Overige
16% 5% 5% 5% 5% 4% 4% 4% 3% 3% 46%
In overeenstemming met het feit dat de taal die het meest werd gebruikt voor spam Engels was, voerde de Verenigde Staten de lijst aan van landen waarvandaan de meeste spam werd verzonden. Iran nam de plaats van Oekraïne in op de lijst.
40 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Populairste malwarefamilies in Q1 2015 Detectienaam
Volume
SALITY
86K
DOWNAD
83K
KRYPTIK
71K
BROWSEVIEW
69K
GAMARUE
65K
DUNIHI
49K
VIRUX
42K
UPATRE
41K
FORUCON
39K
RAMNIT
29K
Populairste malwarefamilies per segment in Q1 2015 Segment Grote ondernemingen
MKB
Consumenten
Detectienaam
Volume
DOWNAD
62K
SALITY
35K
DUNIHI
29K
DOWNAD
12K
DLOADR
11K
UPATRE
10K
KRYPTIK
61K
GAMARUE
38K
SALITY
36K
Hoewel KRYPTIK in het afgelopen kwartaal al snel kon worden opgenomen in de lijst met populairste malware, slaagde deze malware er niet in oude lijstaanvoerders als SALITY en DOWNAD van de troon te stoten.
41 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Populairste adwarefamilies in Q1 2015 Detectienaam
Volume
OPENCANDY
454K
DEALPLY
224K
MYPCBACKUP
183K
MYPCBaACKUP
142K
PULSOFT
122K
TOMOS
113K
MULTIPLUG
109K
INSTALLCORE
102K
ELEX
90K
SPROTECT
67K
Populairste adwarefamilies per segment in Q1 2015
Segment Grote ondernemingen
MKB
Detectienaam OPENCANDY
68K
DEALPLY
46K
TOMOS
18K
OPENCANDY
29K
DEALPLY
23K
MYPCBACKUP
Consumenten
Volume
8K
OPENCANDY
346K
MYPCBACKUP
156K
DEALPLY
135K
De populaire OPENCANDY-adware bleef in diverse gebruikerssegmenten stug de lijst aanvoeren van adware die apparaten infecteert.
42 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Populairste Android-malwarefamilies in Q1 2015 Danpay Inoco Youm Agent AdultPlayer Jxt Gexin Guidead AppInst FakeApp Overige
14% 12% 6% 6% 4% 4% 2% 2% 1% 1% 48%
Danpay was in het afgelopen kwartaal de meest beruchte Android-malwarefamilie. Deze malware verschafte zich onder andere toegang tot C&C-servers en wachtte daar op schadelijke opdrachten, terwijl intussen andere apps werden gedownload op apparaten die al waren geïnfecteerd.
Populairste Android-adwarefamilies in Q1 2015 AdLeak Igexin AdFeiwo Noiconads FeiwoDown Appquanta Arpush RevMob SnailCut GoYear Overige
8% 7% 6% 5% 5% 4% 4% 4% 3% 3% 51%
AdLeak, een algemene detectienaam van Trend Micro voor apps die de privacy van gebruikers in gevaar kunnen brengen, voerde in het afgelopen kwartaal de lijst aan van mobiele adware.
43 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Meest gesignaleerde Android-bedreigingstypen in Q1 2015 50%
48%
25%
18% 14%
14% 4%
2%
0
ADWARE
DATA STEALERS
PAYWARE
MISBRUIK SCHADELIJKE VAN PREMIUM DOWNLOADS SERVICES
OVERIGE
Adware bleef het belangrijkste bedreigingstype voor Android-apparaten. Payware verwijst naar PUA's die gebruikers ertoe overhalen akkoord te gaan met de betaling van frauduleuze kosten of toeslagen. PUA's zijn van nature niet schadelijk, maar ze kunnen wel functionaliteit bevatten die de gegevens van gebruikers in gevaar kan brengen of hun mobiele ervaring kan verstoren.
Cumulatieve groei van Android-bedreigingen vanaf Q1 2015 5,4 miljoen
6 miljoen
4,9 miljoen
3,8 miljoen
4,1 miljoen
4,3 miljoen
4,6 miljoen
3 miljoen
0
OKT 2014
NOV
DEC
JAN 2015
FEB
MRT
Het merendeel van de Android-bedreigingen die we in het afgelopen kwartaal hebben ontdekt, bestaat uit PUA's.
44 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Landen waar het grootste aantal C&C-servers werd gehost in Q1 2015 Verenigde Staten Oekraïne Duitsland Rusland Frankrijk Verenigd Koninkrijk Nederland China Zuid-Korea Portugal Overige
29% 9% 7% 7% 4% 4% 4% 3% 3% 2% 28%
C&C-servers werden aangetroffen in diverse landen, zoals bijvoorbeeld de Verenigde Staten, Oekraïne en Duitsland. Aanvallers hoeven niet per se te wonen in deze landen om toegang te krijgen tot hun C&C-servers, aangezien deze op afstand kunnen worden bediend. De meeste landen in deze lijst komen ook voor in de lijst met landen met het grootste aantal schadelijke URL's. Dit kan erop duiden dat er misbruik wordt gemaakt van de hostingservice en -infrastructuur in deze landen.
Landen met het grootste aantal verbindingen met C&C-servers in Q1 2015 Verenigde Staten Japan Australië Taiwan Duitsland India Canada Frankrijk Maleisië Italië Overige
51% 9% 5% 4% 4% 4% 2% 2% 2% 1% 16%
De Verenigde Staten noteerden het grootste aantal C&C-verbindingen. Logischerwijs voerden de VS ook de lijst aan van landen met het grootste aantal gebruikers dat op schadelijke URL's heeft geklikt. Dit kan erop duiden dat het merendeel van de geregistreerde toegangspogingen botnetgerelateerd waren.
45 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Malwarefamilies met het grootste aantal gerelateerde C&C-servers in Q1 2015 1,5K
1316
0,75K
745
385
379
TROJAN
GOZEUS
348
0
CRILOCK
DUNIHI
ZEUS
Varianten van de ransomware CRILOCK verschaften zich het vaakst toegang tot C&C-servers in het afgelopen kwartaal.
Malwarefamilies met het grootste aantal slachtoffers in Q1 2015 350K
349K
379 175K
36K
31K
PUSHDO/ WIGON
CLACK
18K
0
POWELIKS
BADUR
POWELIKS maakte in het afgelopen kwartaal het grootste aantal slachtoffers. Waarschijnlijk komt dit door de gebruikte maskeringstechniek, die ervoor zorgt dat de malware verborgen blijft in geïnfecteerde systemen.
46 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
Literatuur 1.
U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 mei 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. “Permanent Subcommittee on Investigations Releases Report: ‘Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.’” Voor het laatst geopend op 7 mei 2015, http://www.hsgac.senate.gov/media/ permanent-subcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy.
2.
Brooks Li en Joseph C. Chen. (16 maart 2015). TrendLabs Security Intelligence Blog. “Exploit Kits and Malvertsing: A Troublesome Combination.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-andmalvertising-a-troublesome-combination/.
3.
Peter Pi. (2 februari 2015). TrendLabs Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/.
4.
Alvin Bacani. (5 februari 2015). TrendLabs Security Intelligence Blog. “BEDEP Malware Tied to Adobe Zero Days.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/.
5.
Trend Micro Incorporated. (20 februari 2015). TrendLabs Security Intelligence Blog. “Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD.” Voor het laatst geopend op 16 april 2015, http://www.trendmicro.com/vinfo/us/ security/news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl.
6.
Lenovo. (19 februari 2015). Lenovo. “Lenovo Statement on Superfish.” Voor het laatst geopend op 16 april 2015, http://news.lenovo.com/article_display.cfm?article_id=1929.
7.
Vangie Beal. (2015). Webopedia. “Bloatware.” Voor het laatst geopend op 20 april 2015, http://www.webopedia.com/TERM/B/ bloatware.html.
8.
Seven Shen. (2 april 2015). TrendLabs Security Intelligence Blog. “The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-betweenad-and-adware-a-closer-look-at-the-mdash-sdk/.
9.
Trend Micro Incorporated. (13 februari 2013). TrendLabs Security Intelligence Blog. “Key Figure in Police Ransomware Activity Nabbed.” Voor het laatst geopend op 23 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-policeransomware-activity-nabbed-2/.
10. David John Agni. (2015). Threat Encyclopedia. “TROJ_CRYPFORT.A.” Voor het laatst geopend op 16 april 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A. 11. Francis Xavier Antazo. (2015). Threat Encyclopedia. “PHP_CRYPWEB.A.” Voor het laatst geopend op 16 april 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A. 12. Anthony Joe Melgarejo. (1 april 2015). TrendLabs Security Intelligence Blog. “Crypto-Ransomware Sightings and Trends for 1Q 2015.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightingsand-trends-for-1q-2015/. 13. David John Agni. (2015). Threat Encyclopedia. “TROJ_CRYPTESLA.A.” Voor het laatst geopend op 16 april 2015, http://www. trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A. 14. Shirley Siluk. (13 april 2015). CIO Today. “Ransomware Hackers Hitting Police Departments.” Voor het laatst geopend op 16 april 2015, http://www.cio-today.com/article/index.php?story_id=033001297WKR. 15. Maydalene Salvador. (24 maart 2015). TrendLabs Security Intelligence Blog. “Macro-Based Malware Increases Along with Spam Volume, Now Drops BARTALEX.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/ macro-based-malware-increases-along-with-spam-volume-now-drops-bartalex/. 16. Trend Micro Incorporated. (16 februari 2015). TrendLabs Security Intelligence Blog. “Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabssecurity-intelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/.
47 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
17. Rhena Inocencio. (5 november 2014). TrendLabs Security Intelligence Blog. “Banking Trojan DRIDEX Uses Macros for Infection.” Voor het laatst geopend op 6 mei 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-forinfection/. 18. Joie Salvio. (19 november 2014). TrendLabs Security Intelligence Blog. “ROVNIX Infects Systems with Password-Protected Macros.” Voor het laatst geopend op 6 mei 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-withpassword-protected-macros/. 19. Trend Micro Incorporated. (4 maart 2015). TrendLabs Security Intelligence Blog. “FREAK Vulnerability Forces Weaker Encryption.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerabilityforces-weaker-encryption/. 20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago Zanella-Béguelin, Jean-Karim Zinzindohoué en Benjamin Beurdouche. (2015). MiTLS. “SMACK: State Machine AttaCKs.” Voor het laatst geopend op 17 april 2015, https://www.smacktls.com/#freak. 21. Tracking the FREAK Attack.” (2015). Voor het laatst geopend op 30 april 2015, https://freakattack.com/. 22. Pawan Kinger. (28 januari 2015). TrendLabs Security Intelligence Blog. “Not So Spooky: Linux ‘GHOST’ Vulnerability.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/. 23. Trend Micro Incorporated. (20 maart 2015). Trend Micro Security News. “Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients.” Voor het laatst geopend op 17 april 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/premera-blue-cross-data-breach-exposes-11m-patient-records. 24. Christopher Budd. (5 februari 2015). Trend Micro Simply Security. “The Anthem Data Breach: What You Need to Know.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/. 25. Jack Clark. (15 juni 2011). ZDNet. “NHS Laptop Loss Could Put Millions of Records at Risk.” Voor het laatst geopend op 30 april 2015, http://www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/. 26. Trend Micro Incorporated. (10 februari 2015). Trend Micro Security News. “Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets.” Voor het laatst geopend op 17 april 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets. 27. Miriam Quick, Ella Hollowood, Christian Miles en Dan Hampson. (30 maart 2015). Information Is Beautiful. “World’s Biggest Data Breaches.” Voor het laatst geopend op 23 april 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-databreaches-hacks/. 28. Identity Theft Resource Center. (2015). ITRC. “2008 Data Breaches.” Voor het laatst geopend op 23 april 2015, http://www.idtheftcenter.org/ITRC-Surveys-Studies/2008-data-breaches.html. 29. Jay Yaneza. (3 maart 2015). TrendLabs Security Intelligence Blog. “PwnPOS: Old Undetected PoS Malware Still Causing Havoc.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malwarestill-causing-havoc/. 30. Rhena Inocencio. (29 augustus 2014). TrendLabs Security Intelligence Blog. “New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts.” Voor het laatst geopend op 23 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/newblackpos-malware-emerges-in-the-wild-targets-retail-accounts/. 31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. “Infographic: Cash Vs. Card.” Voor het laatst geopend op 23 april 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx. 32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “Cybercrime Hits the Unexpected: TrendLabs 1Q 2014 Security Roundup.” Voor het laatst geopend op 23 april 2015, http://www.trendmicro.co.uk/media/misc/cybercrime-hits-the-unexpecteden.pdf. 33. Lambert Sun, Brooks Hong en Feike Hacquebord. (4 februari 2015). TrendLabs Security Intelligence Blog. “Pawn Storm Update: iOS Espionage App Found.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawnstorm-update-ios-espionage-app-found/.
48 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015
34. Cedric Pernet. (18 maart 2015). TrendLabs Security Intelligence Blog. “Operation Woolen-Goldfish: When Kittens Go Phishing.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-whenkittens-go-phishing/. 35. Trend Micro Incorporated. (27 februari 2015). Trend Micro Security News. “Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks.” Voor het laatst geopend op 23 april 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/ pawn-storm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks. 36. Trend Micro Incorporated. (16 maart 2015). Trend Micro Security News. “Exploit Kits: Past, Present and Future.” Voor het laatst geopend op 17 april 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-andfuture. 37. Peter Pi. (20 maart 2015). TrendLabs Security Intelligence Blog. “Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.” Voor het laatst geopend op 23 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-tonuclear-exploit-kit/. 38. Trend Micro Incorporated. (2015). Threat Encyclopedia. “Potentially Unwanted Application.” Voor het laatst geopend op 30 april 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app.
49 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen
Opgesteld door:
Het mondiale centrum voor technische ondersteuning en R&D van TREND MICRO
TREND MICRO TM Trend Micro Incorporated is wereldwijd marktleider op het gebied van cloudbeveiliging en streeft naar een wereld waarin, dankzij de oplossingen voor de beveiliging van internetcontent en risicobeheer, ondernemingen en consumenten veilig digitale informatie kunnen uitwisselen. Als pionier op het gebied van serverbeveiliging met meer dan 20 jaar ervaring leveren we hooggewaardeerde client-, server- en cloudbeveiliging die voldoet aan de wensen en eisen van onze klanten en partners, die nieuwe bedreigingen sneller tegenhoudt en die gegevens beschermt in fysieke, gevirtualiseerde en cloudomgevingen. Onze toonaangevende technologie, producten en services voor de beveiliging van cloud computing werken met de infrastructuur van het Trend Micro™ Smart Protection Network™, houden bedreigingen tegen waar deze opkomen, op internet, en worden ondersteund door meer dan 1000 bedreigingsdeskundigen over de hele wereld. Ga voor aanvullende informatie naar www.trendmicro.com
©2015 by Trend Micro, Incorporated. Alle rechten voorbehouden. Trend Micro en het Trend Micro t-ball logo zijn handelsmerken of gedeponeerde handelsmerken van Trend Micro, Incorporated. Alle overige product- of bedrijfsnamen zijn mogelijk handelsmerken of gedeponeerde handelsmerken van hun eigenaren.