Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen

Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen

TrendLabsSM-beveiligingsoverzicht Q1 2015

Inhoud TREND MICRO JURIDISCHE DISCLAIMER De hier verschafte informatie is algemeen van aard en is uitsluitend als voorlichting bedoeld. Deze informatie is niet bedoeld als en moet niet worden opgevat als juridisch advies. Deze informatie is mogelijk niet in alle situaties van toepassing en is mogelijk niet geheel up-to-date. Er dient niet op deze informatie te worden vertrouwd of naar deze informatie te worden gehandeld zonder juridisch advies in te winnen dat is gebaseerd op de specifieke feiten en omstandigheden, en deze informatie dient niet anders te worden opgevat. Trend Micro behoudt zich het recht voor de inhoud van dit document op elk gewenst moment zonder voorafgaande kennisgeving te wijzigen. Vertalingen van enig materiaal in andere talen zijn uitsluitend bedoeld voor het gemak van de lezer. De juistheid van vertalingen wordt niet gegarandeerd of geïmpliceerd. Als er vragen rijzen omtrent de juistheid van een vertaling, raadpleegt u de officiële versie van het document in de oorspronkelijke taal. Discrepanties of verschillen die optreden in de vertaling, zijn niet bindend en hebben geen juridisch effect met betrekking tot compliance- of afdwingingsdoeleinden. Trend Micro doet redelijke pogingen te zorgen dat deze informatie juist en up-to-date is. Trend Micro verleent echter geen enkele garantie en doet geen enkele toezegging dat deze informatie juist, upto-date of volledig is. U gaat ermee akkoord dat u op eigen risico toegang krijgt tot dit document, dit document gebruikt en op dit document vertrouwt. Trend Micro wijst alle uitdrukkelijke of impliciete garanties van welke aard dan ook af. Noch Trend Micro noch enige andere partij die betrokken is bij het maken, produceren of leveren van dit document, is aansprakelijk voor enige gevolgen, verliezen of schade, inclusief directe, indirecte, speciale of gevolgschade, gederfde bedrijfsinkomsten of bijzondere schade, die voortvloeien uit de toegang tot, het gebruik van of het onvermogen gebruik te maken van dit document of verband houden met het gebruik van dit document, of voor eventuele fouten of weglatingen in de inhoud ervan. Als u deze informatie gebruikt, houdt dit in dat u de informatie accepteert in de staat waarin deze verkeert.

4 Problemen in bedrijfsmodel voor internetreclame brengen beveiliging van gebruikers in gevaar

11 Explosie van infecties met cryptoransomware, ondernemingen in gevaar

17 Macromalware, oud maar nog steeds effectief

21 Tien jaar oud FREAK-beveiligingslek leverde problemen op voor patchbeheer

26 Talloze gegevensinbreuken in gezondheidszorg, andere branches verlamd door PoS-malware-aanvallen

30 Oude bedreigingsactoren staken weer de kop op met nieuwe tools, tactieken en procedures voor gerichte aanvalscampagnes

32 Exploitkits werden steeds geavanceerder

36 Overzicht van bedreigingslandschap

Als je kijkt naar de bedreigingen van het afgelopen kwartaal, lijkt het of gebruikers zich niet kunnen beschermen, hoe voorzichtig ze ook zijn. Cybercriminelen en bedreigingsactoren hoeven geen nieuwe kanalen meer te creëren om hun slachtoffers en doelwitten te bereiken. De basis is al gelegd, ze hoeven de aanvallen alleen nog maar uit te voeren. De grootste gaten in de beveiliging worden vaak over het hoofd gezien. Malvertenties zijn bijvoorbeeld niet nieuw. Veel gebruikers zijn eraan gewend geraakt. Hoewel gebruikers zich bewapenen met de nieuwste beveiligingsoplossingen en de meest actuele kennis, kan niets ze voorbereiden op malvertenties die worden gecombineerd met 'zero-day'-aanvallen. Het incident met Adobe® Flash® dat in februari van dit jaar plaatsvond, toont aan hoe effectief een dergelijke aanval kan zijn. Ook mobiele gebruikers werden niet gespaard. Adware bleef een belangrijke bedreiging, zoals wel bleek uit het oprollen van Google Play™-apps in diezelfde maand. De apparaten van miljoenen mensen die schijnbaar veilige apps met een hoog risico downloadden, waren echter al geïnfecteerd voordat de apps werden opgerold. Advertentienetwerken moeten hun beveiliging absoluut opschroeven. Ook zien veel gebruikers verouderde technologie niet als een serieus probleem. De sterke stijging van het aantal infecties door macromalware (in Microsoft™ Word®-bestanden) en de hardnekkigheid van OpenSSL-exploits toonden aan waar cybercriminelen allemaal toe in staat zijn door misbruik te maken van oude en bekende beveiligingsproblemen. De grootste sector die in de afgelopen maanden niet goed voorbereid bleek, was echter de retailbranche. Dat is best vreemd, omdat er al die tijd regelmatig PoSmalware-aanvallen (Point-of-Sale) werden uitgevoerd. Net als ransomware lijkt PoSmalware behoorlijk hardnekkig en blijven de gegevens van bedrijven en hun klanten dus gevaar lopen. Doen we wel genoeg om onszelf te beschermen tegen beveiligingsrisico's? Zoals de grootste incidenten in de eerste drie maanden van 2015 hebben aangetoond, zijn zelfs gebruikers en organisaties die beveiliging heel serieus nemen niet immuun voor deze gevaren. Bedreigingsactoren zullen immers niet aarzelen om misbruik van zelfs het kleinste beveiligingslek te maken om te krijgen wat ze willen. In computeromgevingen zou tegenwoordig geen ruimte voor fouten meer mogen zijn.

OPMERKING: Elke keer dat het woord 'detecties' voorkomt in de tekst, wordt er verwezen naar gevallen waarin bedreigingen worden aangetroffen op apparaten van gebruikers, die vervolgens worden geblokkeerd door Trend Micro beveiligingssoftware. Tenzij anders aangegeven, zijn de cijfers die in dit rapport worden genoemd gebaseerd op gegevens die zijn verzameld door de beveiligingsinfrastructuur in de cloud van het Trend Micro™ Smart Protection Network™. Deze infrastructuur maakt gebruik van een combinatie van technologieën in de cloud en technieken op clients om producten op locatie en gehoste services te ondersteunen.

TREND MICRO | TrendLabs-beveiligingsoverzicht Q1 2015

Problemen in bedrijfsmodel voor internetreclame brengen beveiliging van gebruikers in gevaar Online advertenties groeiden uit tot een populaire drager van exploits. Dit kwam waarschijnlijk door het feit dat gebruikers niet in de hand hebben welke advertenties ze zien. Net als hun bezoekers werden ook site‑eigenaren hierdoor getroffen, omdat ze geen controle hadden over welke advertenties daadwerkelijk werden getoond op hun sites. Zero-day-exploits die gericht waren op Adobe-

hierbij om het alleen bezoeken van vertrouwde

software, hebben onlangs een upgrade gekregen

sites en het bijgewerkt houden van toepassingen

en werden vervolgens gebruikt in malvertentie-

met de nieuwste patches.

aanvallen. Een voorbeeld van een dergelijke exploit (CVE-2015-0313), die inmiddels onderdeel van de

Volgens

een

rapport

van

de

Amerikaanse

Angler-exploitkit is, werd begin februari van dit

Senate Committee on Homeland Security and

jaar ontdekt. Doordat deze exploit gebruikmaakte

Governmental Affairs is het lastig om in de

van malvertenties, was men voor het infecteren

online reclamebranche de weg te vinden. “Door

van hun computers niet langer afhankelijk van

de complexiteit van de online reclamebranche

slachtoffers die schadelijke pagina's bezochten of

is het lastig om de entiteiten te identificeren en

hier toevallig terechtkwamen.

aansprakelijk te stellen die verantwoordelijk zijn voor de schade die het gevolg is van malware-

De laatste tijd zijn malvertentie-aanvallen een

aanvallen.”1, 2 Malvertising is niet alleen een

grotere bedreiging gaan vormen doordat er zero-

probleem voor eindgebruikers, maar ook voor

day-exploits worden gebruikt. De combinatie van

site-eigenaren. Op websites kunnen schadelijke

malvertenties en zero-day-exploits ondermijnde

advertenties te zien zijn zonder dat de site-

twee van de best practices voor beveiliging die

eigenaren hiervoor toestemming hebben gegeven

tegenwoordig het meest worden gebruikt. Het gaat

of hiervan op de hoogte zijn.

4 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Belangrijke beveiligingsproblemen in Q1 2015

CVE-2015-0310

CVE-2015-0311

Alle Adobe Flash-versies tot 16.0.0.257


Exploit uitgevoerd met SWF_ANGZIA.A (aankomst niet openbaar gemaakt)

Exploit uitgevoerd met SWF_ANGZIA.B, SWF_ANGZIA.C of SWF_ANGZIA.F via malvertenties

22 JAN

22 JAN

24 JAN

27 JAN

22 JAN

CVE-2015-0313

22 JAN

24 JAN

2 FEB

CVE-2015-0072


Microsoft™ Internet Explorer® versie 9 t/m 11

Exploit uitgevoerd met BEDEPachterdeuren via malvertenties

Exploit uitgevoerd met webinjectie in combinatie met schadelijke koppelingen

2 FEB

2 FEB

CVE-ID (veelvoorkomende beveiligingsproblemen)

4 FEB

10 FEB

Openbaarmaking van beveiligingsproblemen

5 FEB

Ontdekking van aanvallen

5 FEB

Patches voor beveiligingsproblemen

10 MRT

3 FEB

Vrijgave van Trend Micro Deep Securityregels

Van de vier zero-day-exploits die in het afgelopen kwartaal zijn ontdekt, maakten er twee gebruik van malvertenties als infectievector.



Hoe malvertising werkt

Zo werkt online adverteren Adverteerders willen producten of services promoten Advertentienetwerken koppelen adverteerders aan sites die online advertenties willen plaatsen. Ze verzamelen meerdere advertenties, voegen deze samen en leveren ze vervolgens aan verschillende sites De partijen die advertenties publiceren (site-eigenaren) integreren advertenties in de online content van de sites. Ze kunnen meerdere advertenties in verschillende indelingen weergeven Gebruikers zien advertenties wanneer ze sites bezoeken die advertenties plaatsen

Zo werkt online malvertising

Cybercriminelen doen zich voor als adverteerders en dienen schadelijke advertenties in Schadelijke en legitieme advertenties raken met elkaar vermengd, wat mogelijk komt doordat ze niet goed worden doorgelicht wanneer ze worden ingediend door advertentienetwerken Schadelijke advertenties worden weergegeven op sites die advertenties plaatsen

Schadelijke advertenties maken misbruik van kwetsbare plekken op de computers van sitebezoekers om malware te plaatsen



Aantal BEDEP- en ROZENA-infecties dat is verspreid via malvertenties van Q4 2014 t/m Q1 2015

Q4 2014 TOTAAL: 2503

4K

Q1 2015 TOTAAL: 10.031 3568

2385

2480

2K

1858

1 0

1660

313

106 6

5

152

0

OKT

NOV

DEC

JAN

2014

FEB

MRT

2015

BEDEP TOTAAL: 7719

ROZENA TOTAAL: 4815

Malvertenties stuurden slachtoffers naar sites die hun computers automatisch infecteerden met allerlei soorten malware.

Een zero-day-exploit voor Adobe Flash die werd

laptopmodellen voor consumenten die tussen

gedistribueerd

verspreidde

september en december 2014 zijn geleverd.5, 6

BEDEP-malware.3 Gebruikers die BEDEP-mal

Superfish werd geclassificeerd als bloatware

ware downloadden, liepen ongewild het risico

of

dat ze zouden deelnemen aan botnetoperaties

gebruikt en vooraf is geïnstalleerd op computers.

van aanvallers. Bovendien liepen ze het risico

Met deze add-on konden zoekresultaten (die

slachtoffer te worden van fraude en dat er nog

worden weergegeven als afbeeldingen) worden

andere malware werd gedownload.

aangepast op basis van de browsegeschiedenis van

via

malvertenties,

4

onnodige

software

die

veel

schijfruimte

gebruikers.7 Superfish gedroeg zich niet alleen als Dit kwartaal bevond zich onder de bedreigingen

adware, maar stelde cybercriminelen ook in staat

waarbij

om zich toegang te verschaffen tot zogenaamd

advertenties

betrokken

waren,

ook

Superfish. Dit is een add-on voor browsers die

beveiligde communicatie.

vooraf was geïnstalleerd op minimaal 52 Lenovo®-



Hoe werkt Superfish?

Aangezien Superfish vooraf wordt geïnstalleerd op bepaalde Lenovo-laptopmodellen, zijn gebruikers mogelijk niet volledig op de hoogte van wat deze add-on inhoudt en wat deze doet en zijn ze het mogelijk ook niet eens met de installatie hiervan. Superfish installeert zijn eigen basiscertificaat zodat het programma zelfs in HTTPS werkt. Op deze manier kan het beveiligde communicatie onderscheppen zonder dat er waarschuwingen worden weergegeven.

De visuele zoektechnologie Superfish is een add-on voor browsers die aan advertenties gerelateerde afbeeldingen weergeeft die zijn gekoppeld aan zoekresultaten.

Superfish-certificaten maken op alle laptops gebruik van dezelfde persoonlijke sleutel, die naar de openbaarheid is weggelekt. Hierdoor is de versleuteling en bescherming tegen mogelijk misbruik zwak.

Behalve dat Superfish vooraf werd geïnstalleerd en zich gedroeg als adware, vormde de add-on ook een grote bedreiging. Door het zwakke certificaat liep zelfs beveiligde communicatie een groot risico.

De

adware

gebruikers.

richtte

zich

Verschillende

niet Google

alleen

op

(ANDROIDOS_ADMDASH.HRX)

infecteerde

Play-apps

naar verluidt miljoenen apparaten voordat de

die gebruikmaakten van de MDash Software

besmette apps van Google Play werden verwijderd.

Development Kit (SDK), forceerden namelijk

In de store zijn nog ruim 2000 apps gevonden die

ook de weergave van schadelijke advertenties

vergelijkbaar gedrag vertoonden.

op alle getroffen mobiele apparaten.8 MDash



Aantal met MDash besmette apps dat is aangetroffen op Google Play voor en na het oprollen

FEB

3 FEBRUARI Google verwijderde naar verluidt drie apps uit de store nadat gebleken was dat dit vermomde adware was

11 MAART

MRT

26 MAART Google werd op de hoogte gesteld van het probleem en gaf aan dat er nader onderzoek zou worden gedaan

Onze onderzoekers troffen in 2377 apps SHA-256-hashes aan op Google Play op het moment dat deze werden geanalyseerd 31 MAART

APR

2 APRIL

682 apps waren nog steeds verkrijgbaar in de store toen onze onderzoekers dat controleerden

15 APRIL

MDash-blogitem werd gepubliceerd MEI

85 apps waren nog steeds verkrijgbaar op Google Play toen onze onderzoekers dat opnieuw controleerden

Begin maart van dit jaar zijn ongeveer 2000 met MDash besmette apps aangetroffen op Google Play. De meeste hiervan werden binnen een maand nadat ze waren gemeld, opgerold.

De bedreigingen die het afgelopen kwartaal zijn

zelfs beveiligde communicatie het gevaar liep in

ontdekt, gebruikten het online advertentieplatform

handen te vallen van aanvallers. En opnieuw werd

om de gegevensbeveiliging van gebruikers en site-

aangetoond dat geen enkel apparaat gevrijwaard

eigenaren in gevaar te brengen. Malvertenties

is van bedreigingen, door aanvallers die MDash

bleken effectieve dragers te zijn voor zero-day-

en vergelijkbare apps gebruikten om waardevolle

exploits, zoals wel blijkt uit de recente zero-day-

informatie van slachtoffers te stelen.

aanvallen via Adobe. Superfish zorgde ervoor dat



“Voor gewone mensen vormen malvertenties een van de ergste bedreigingen waarmee ze te maken kunnen krijgen. Malvertenties kunnen meer schade dan enige andere bedreiging aanrichten, zelfs als men precies doet wat men moet doen. Malvertenties kunnen mensen treffen die niet op koppelingen klikken, hun beveiligingsoplossingen volledig hebben bijgewerkt en alleen vertrouwde sites bezoeken. Je kunt, kortgezegd, niet voorzichtig genoeg zijn. Je kunt alleen maar geluk hebben.”

Christopher Budd, Threat Communications Manager

“Steeds grotere aantallen gebruikers mijden schadelijk reclamemateriaal in zowel online als traditionele media. Als de trend om misbruik te maken van advertenties zich voortzet, kunnen we verwachten dat browserleveranciers functionaliteit in hun producten opnemen waarmee advertenties kunnen worden geblokkeerd. Nu is die functionaliteit alleen nog beschikbaar als plug-ins van derden. De enige manier waarop advertentienetwerken deze ingrijpende verandering kunnen afwenden, is door meer hun best te gaan doen om de content te controleren die ze – bijvoorbeeld via pre-release sandboxing – publiceren. Bovendien zullen ze de sites die ze bedienen, beter moeten gaan controleren.”

Rik Ferguson, Vice President of Security Research



Explosie van infecties met cryptoransomware, ondernemingen in gevaar Crypto-ransomware heeft zijn basisdoelen uitgebreid en richt zich niet meer alleen op consumenten, maar ook op ondernemingen en nichegebruikerstypen. In het eerste kwartaal van 2015 is bijna de helft

voor hun Police Trojan-voorgangers. De veel

van alle ransomware-infecties geclassificeerd als

schadelijkere opvolgers – crypto-ransomware –

een zeer schadelijk type: crypto-ransomware.

versleutelden bestanden waarvoor vervolgens

Deze nieuwe en krachtigere ransomware beperkte

losgeld moest worden betaald. Dit betekende dat

zich niet tot het blokkeren van de toegang van

gebruikers een hoger risico liepen.

slachtoffers tot hun computers, wat wel gold

Vergelijking van bekende voorbeelden van crypto-ransomware

1

2 (Bandarchor)

3 CryptoFortress

Maakt gebruik van oude technieken, hoewel er ook regelmatig nieuwe varianten de kop op steken (richt zich op meer bestandstypen; overgeschakeld van losgeldberichten in het Russisch naar berichten in het Engels)

Gebruikt ongeveer dezelfde gebruikersinterface (UI) als TorrentLocker; maakt intensief gebruik van jokertekens om naar bestandsnaamextensies te zoeken; versleutelt bestanden op netwerkshares

Gedownload door TROJ_CRYPTOP.KLS, samen met andere onderdelen

Verspreid via spam en beveiligingslekken

Onderdeel van de Nuclear-exploitkit

4 TeslaCrypt

5 VaultCrypt

6 Troidesh

Hanteert een UI die vergelijkbaar is met die van CryptoLocker; versleutelt behalve documenten ook aan games gerelateerde bestanden

Maakt gebruik van GnuPG om bestanden te versleutelen; downloadt hacking-tools om in de cache van de browser opgeslagen aanmeldreferenties te stelen; gebruikt sDelete 16 keer om te voorkomen dat slachtoffers bestanden herstellen via een back-up; richt zich vooral op Russen

Wijzigt namen van bestanden in {versleutelde bestandsnaam}.xtbl; steelt IP-adressen

GulCrypt TROJ_GULCRYPT.A

Maakt gebruik van .RAR om gearchiveerde bestanden met een wachtwoord te versleutelen; wachtwoord wordt met PGP versleuteld

TROJ_CRYPAURA.F

Onderdeel van de Angler-exploitkit

TROJ_CRYPAURA.F

BAT_CRYPVAULT.A

TROJ_CRYPFORT.A

TROJ_CRYPSHED.A

Onderdeel van de Nuclear-exploitkit

Verspreid via spam met een JavaScript™-downloadprogramma



VOORZIENINGEN

1

2

Nieuwe familie?

Ja

Nee

Gegevens gestolen

Niet van toepassing

C&Ccommunicatie

Nee

3

5

6

Ja

Ja

Computernaam Niet van en GUID toepassing (Globally Unique IDentifier) van computer

IP-adres

In cache van IP-adres browser opgeslagen aanmeldreferenties met een hackingtool die bekend staat als 'Browser Password Dump by Security Xploded' (HKTL_BROWPASS)

Ja (met een Nee in code vastgelegde Command-andControl-server [C&C])

Ja (via Tor2web)

Ja (via Onion City Tor2web)

Ja (via Tor)

Bestandsnaam {gebruikers van losgeldbericht naam}_ bestanden

fud.bmp (als achtergrond)

RED_JE_ BESTANDEN. txt; RED_JE_ BESTANDEN. bmp (als achtergrond)

KLUIS.txt

LEESMIJ{1 t/m 10}. txt

Aan versleutelde bestanden toegevoegde extensienaam

.id-{id-nr.}_fud@ .frtrss india.com*

.ecc

.VAULT

Wijzigt namen van bestanden in {versleutelde bestandsnaam}.xtbl

Verwijdert Nee schaduwkopieën?

Nee

Ja

Ja

Ja

Nee

Aantal aangevallen bestanden

11

102 (dit was 39 bij oudere varianten)

132+

185

15

342

Om losgeld gevraagd

€ 300

€ 500 aan bitcoins (BTC)

1 BTC

1,5 BTC (€ 1000 bij betaling via PayPal)

€ 247 aan BTC (wordt verhoogd na zeven dagen)

Onbekend, aangezien slachtoffers eerst per e-mail contact moeten opnemen met bedreigings actoren; er hebben zich nog geen partijen gemeld die losgeld hebben betaald

Gebruikt Deep Web voor betalingssites

Mail2Tor (Tor‑e-mail service)

Nee (via e-mail)

Tor

Tor

Tor

Nee via e-mail)

Freemiumvoorzieningen?

Ja (via e-mail)

Nee

Ja

Ja

Ja

Nee

.rar

Ja

4

LEES DIT ALS JE JE BESTANDEN TERUG WILT. html

Ja

(* id-nr. verwijst naar het nummer dat slachtoffers identificeert tijdens ontsleutelingstransacties.) Er zijn zes families toegevoegd aan de groeiende lijst met belangrijke crypto-ransomware, met verschillende niveaus op het gebied van vraag, ernst en complexiteit.



Aantal besmettingen met ransomware 20K

13K 8K

12K

Ransomware

9K

10K

6K

6K

Crypto-ransomware

8K

3K

3K

3K

3K

Q2 2014

Q3 2014

Q4 2014

2K

0

Q4 2013

Q1 2014

Q1 2015

Nadat de hoeveelheid ransomware van het eerste tot en met het derde kwartaal van 2014 was afgenomen, wat waarschijnlijk kwam door de arrestatie van de auteur van de Blackhole-exploitkit (Paunch) aan het einde van 2013, is dit proces weer omgedraaid vóór het einde van 2014. (De Blackhole-exploitkit stond bekend als drager voor de verspreiding van ransomware.)

Landen met het grootste aantal ransomware-infecties in Q1 2015 Verenigde Staten Australië Japan Turkije Italië Frankrijk Duitsland India Canada Filipijnen Overige

34% 6% 6% 5% 5% 4% 3% 3% 2% 2% 30%

Het merendeel van de ransomware-infecties vond plaats in de Verenigde Staten. Dit kwam waarschijnlijk doordat er aan het begin van dit jaar nieuwe crypto-ransomware-varianten – zoals CTB-Locker – bij zijn gekomen, die gericht zijn op Amerikaanse burgers.



Belangrijkste ransomware-families

CRYPCTB REVETON KOVTER CRYPWALL RANSOM CRILOCK CRYPTOPHP VIRLOCK MATSNU CRYPTWALL Overige

25% 20% 17% 11% 10% 6% 5% 1% 1% 1% 3%

CRYPCTB is de detectienaam van Trend Micro voor CTB-Locker-varianten, die in de eerste twee maanden van dit jaar een ware plaag vormden voor gebruikers. Deze familie is verantwoordelijk voor 25% van de ransomware-infecties.

Hoewel de arrestatie van Paunch in 2013 leidde tot

Wat nog zorgwekkender was, is dat ransomware

een daling van het aantal ransomware-infecties,

niet meer alleen een gevaar vormde voor

heeft dit incident andere cybercriminelen er niet

consumenten, maar ook voor ondernemingen.

van weerhouden om nog schadelijkere varianten

CryptoFortress, een imitatie van CryptoLocker

van de bedreiging te verspreiden. Nu hebben

(TROJ_CRYPFORT.A),

gebruikers dus te maken met nog schadelijkere

gedeelde mappen versleutelen.10 Tegelijkertijd

ransomware-varianten.

kon CRYPWEB webserverdatabases versleutelen.11

9

Ondernemingen

moeten

kon

bestanden

ransomware

in

serieus

nemen als bedreiging voor hun infrastructuur en omzet.



Aantal ransomware-infecties per segment in Q4 2014 en Q1 2015

16.433

15.532

Q4 2014

Q1 2015

72%

Consumenten

52%

16%

Grote ondernemingen

28%

6% s

Middelgrote en kleine bedrijven (MKB)

14% s

6%

Overige

6%

Het aantal ransomware-infecties dat ondernemingen treft, is in het afgelopen kwartaal bijna verdubbeld. Dit kan worden toegeschreven aan het de stijgende hoeveelheid ransomware die gericht is op bedrijven in plaats van normale gebruikers.

Behalve ondernemingen zijn ook online gamers

te zijn verbeterd. Met CRYPAURA werden

toegevoegd aan de lijst met doelwitten van crypto-

bijvoorbeeld in totaal 102 bestanden versleuteld,

ransomware. Teslacrypt (TROJ_CRYPTESLA.A)

terwijl dit aantal vóór die tijd beperkt bleef tot 39.

slaagde erin game- en softwaregegevens van Steam®, alsook documenten en media en back-

Ransomware lijkt wel wat op FAKEAV, omdat

upbestanden van gebruikers te versleutelen.12,

het bijna iedereen zoveel schrik aanjoeg dat de

Behalve gamers zijn zelfs politieagenten in

prijs om weer toegang te krijgen tot computers en

Massachusetts gedupeerd. Zij moesten tot wel

bestanden zonder aarzelen werd betaald. De tijd

€ 500 aan losgeld betalen, alleen maar om weer

zal uitwijzen of ransomware evenveel problemen

toegang te krijgen tot hun versleutelde bestanden.14

zal opleveren als FAKEAV. Terwijl voor de

13

bestrijding

van

FAKEAV

voorlichting

van

Ook gebruikers uit Australië en Nieuw-Zeeland

gebruikers een zeer effectief middel bleek te

(ANZ) zijn slachtoffer geworden van ransomware-

zijn – zolang gebruikers irritante pop-upberichten

aanvallen. TorrentLocker-aanvallen, zoals die

negeerden, liepen ze geen gevaar – geldt dit

in januari van dit jaar, verspreidden zich gestaag

helaas niet voor ransomware. Ransomware biedt

van de ene markt naar de andere. Ook andere

gebruikers geen keus. Hun enige hoop is dat

crypto-ransomware-varianten die in het afgelopen

versleutelde bestanden kunnen worden hersteld

kwartaal werden gesignaleerd, bleken aanzienlijk

vanaf beveiligde back-uplocaties.



“Crypto-ransomware is voor cybercriminelen een geweldige manier om munt te slaan uit aanvallen. De bedenkers van de eerste varianten verdienden miljoenen euro's in slechts een paar maanden tijd. Het feit dat ransomware eenvoudig kan worden omgezet in crypto-ransomware – door crypto-bibliotheken toe te voegen – heeft mogelijk bijgedragen aan de groei van deze bedreiging. Crypto-algoritmen zijn onomkeerbaar. Slachtoffers die geen back-ups maken, hebben dan geen andere keus dan te betalen om hun belangrijke bestanden terug te krijgen.”

Anthony Melgarejo, Threat Response Engineer



Macromalware, oud maar nog steeds effectief Mogelijk is de heropleving van macromalware voor cybercriminelen hun manier om te profiteren van de onwetendheid bij gebruikers. Tenslotte begrijpen maar heel weinig gebruikers wat macro's zijn en hoe ze werken. Richting het einde van 2014 is een heropleving van macromalware gesignaleerd, zoals blijkt uit de toename van de hoeveelheid spam met bijlagen vol schadelijke macro's en uit de opkomst van nieuwe varianten. Macromalware maakt vaak gebruik van veelvoorkomende woordgroepen en populaire zoektermen om doelwitten ertoe over te halen ze te downloaden en uit te voeren.15 Zelfs de beruchte malware voor online bankieren VAWTRAK maakte gebruik van schadelijke macro's om computers te infecteren, terwijl ze hiervoor normaal gesproken heel andere methoden gebruikten. Er werd spam gebruikt die ontvangers ertoe aanzette macro's in te schakelen waarmee ze speciaal ontwikkelde Word-bestandsbijlagen konden weergeven. Als ze dit deden, werd er macromalware (W2KM_‌ VLOAD.A) uitgevoerd, die weer VAWTRAK-varianten downloadde.16 Andere voorbeelden van bedreigingen die voorheen macromalware gebruikten als infectievector, zijn de data stealers DRIDEX en ROVNIX.17, 18 Mogelijk vertrouwden cybercriminelen erop dat gebruikers zich niet bewust waren van deze gevaren en wordt het succes van macromalware-aanvallen hierdoor verklaard. Ze maakten misbruik van het feit dat gebruikers geen idee hebben wat macro's zijn en wat ze doen. Dus wanneer hun gevraagd wordt macro's in te schakelen om bijlagen bij zeer overtuigende spam te kunnen bekijken, doen ze dat ook. Macro's worden als aanvalsvector steeds populairder doordat traditionele anti-malware oplossingen hiermee kunnen worden omzeild. Aangezien voor de uitvoering van macromalware handmatige interventie vereist is, kan de bedreiging mogelijk niet effectief worden geneutraliseerd met sandboxingtechnologieën. Gebruikers van

oplossingen voor het scannen van e-mails zijn mogelijk minder gevoelig voor macromalwareinfecties. Dit komt doordat met deze oplossingen uitvoerbare bestanden worden opgespoord in plaats van dat er wordt gescand op ingesloten schadelijke macro's die eenvoudig kunnen worden verborgen en dus niet worden gevonden door antimalwareoplossingen.

Zo werkt macromalware

Bij spam wordt gebruikers gevraagd bijlagen te downloaden en te openen, die meestal leeg zijn of alleen onleesbare inhoud bevatten Met berichten wordt ontvangers gevraagd macro's in te schakelen om inhoud weer te geven, en deze berichten bevatten ook de instructies die ze hiervoor nodig hebben De schaderoutine wordt uitgevoerd zodra de macro is ingeschakeld

Social engineering speelde een grote rol bij recente macromalware-aanvallen. Gebruikers werden ertoe verleid macro's in te schakelen waarmee ze bijlagen konden bekijken, zonder dat ze wisten dat er op de achtergrond schadelijke routines werden uitgevoerd.



Nieuwe macromalware gevonden per Q1 2015

436

500

250

180

79 29 0

2011

2012

19

2013

2014

2015

Sinds 2014 beleeft macromalware een heropleving. Zelfs het Trojaanse paard voor bankieren VAWTRAK maakt hier nu gebruik van.

Aantal besmettingen met macromalware per Q1 2015 93K

100K

48K 50K

32K

0

20K

22K

Q1

Q2

2014

Q3

Q4

Q1 2015

Het aantal macromalware-infecties stijgt continu sinds het eerste kwartaal van 2014. Dit kan worden toegeschreven aan de opkomst van nieuwe varianten en de stijging van de hoeveelheid spam met bijlagen die vol zitten met schadelijke macro's.



Landen met het grootste aantal macromalware-infecties in Q1 2015

China Verenigde Staten Verenigd Koninkrijk Japan Australië Frankrijk Italië Taiwan Duitsland India Overige

22% 14% 12% 7% 5% 5% 4% 3% 3% 2% 23%

China stond in de eerste drie maanden van 2015 boven aan de lijst met landen met het grootste aantal computers dat met macromalware was geïnfecteerd. Hoewel Microsoft macro's standaard heeft uitgeschakeld in Office, lopen gebruikers van oudere versies nog steeds risico.

Meest voorkomende macromalwarevarianten in Q1 2015

W97M_MARKER.BO 8% X97M_OLEMAL.A 5% W2KM_DLOADR.JS 3% X2KM_DLOADR.C 2% W97M_SATELLITE 2% W97M_DLOADR.XTRZ 2% W2KM_DLOAD.NB 2% W97M_DLOADER.GHV 2% X2KM_DLOAD.A 2% X97M_LAROUX.CO 2% Overige 70%



Toepassingen die het meest werden gebruikt als drager van schadelijke macro's in Q1 2015

Word

75%

Excel®

21%

PowerPoint®

1%

Overige

3%

Microsoft Word-documenten en Excel-spreadsheets waren voor cybercriminelen de favoriete dragers van macro's.

Populairste macromalwarefamilies in Q1 2015

DLOADR DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Overige

30% 10% 8% 8% 6% 5% 4% 4% 3% 2% 20%

Macromalware is een favoriete aanvalsvector geworden omdat de standalone anti-malwareoplossingen die op de meeste computers zijn geïnstalleerd, hiermee eenvoudig kunnen worden omzeild. De populairste macromalwarefamilies waren downloadprogramma's. Dit kan erop duiden dat andere malware deze programma's gebruikt om systemen te infecteren.



“De heropleving van macromalware kan worden toegeschreven aan het feit dat deze malware gebruikmaakt van effectieve lokmiddelen op het gebied van social engineering, en aan het feit dat macromalware eenvoudig verborgen kan worden. Normaal gesproken wordt deze malware ingesloten in Office-bestanden, die minder streng worden gecontroleerd door oplossingen voor het scannen van malware. Het is zelfs zo dat macro's kunnen worden ingeschakeld via batch- en scriptbestanden, die ook niet kunnen worden opgespoord door anti-malwareoplossingen.”

Anthony Melgarejo, Threat Response Engineer



Tien jaar oud FREAK-beveiligingslek leverde problemen op voor patchbeheer FREAK en GHOST joegen gebruikers van kwetsbare computers en toepassingen de stuipen op het lijf. Deze lekken brachten voor IT-beheerders problemen op het gebied van patchbeheer met zich mee door het brede scala aan platforms en apparaten dat moet worden beveiligd. Naar verwachting zullen in de loop van het jaar nog meer lekken in platforms en apparaten komen bovendrijven, waarvan misbruik kan worden gemaakt. FREAK – wat staat voor 'Factoring RSA Export

en Apple Transport Layer Security (TLS)/Secure

Keys' – is een beveiligingsprobleem dat getroffen

Sockets Layer (SSL)-clients bleken gevoelig te zijn

beveiligde sites en toepassingen ertoe dwingt

voor

een zwakkere versleuteling te gebruiken. Dit

Getroffen Windows®-gebruikers liepen het risico

probleem werd in maart van dit jaar ontdekt. Alle

dat hun vertrouwelijke gegevens gestolen werden.20

MiTM-aanvallen

(Man-in-The-Middle).19

OpenSSL-versies die zijn uitgebracht vóór 1.0.1k, Momenteel kwetsbaar

Verandering sinds 3 maart

HTTPS-servers onder de 1 miljoen populairste domeinnamen volgens Alexa

8,5%

Gedaald, dit was 9,6%

HTTPS-servers met door browser vertrouwde certificaten

6,5%


Alle HTTPS-servers

11,8%


Het aantal servers dat is getroffen door het FREAK-beveiligingsprobleem is gedaald sinds de ontdekking van het probleem in maart van dit jaar.21

GHOST, een probleem met de bufferoverloop

gemaakt. Deze zwakke plekken kunnen immers

in Linux™ (glibc of de GNU C Library-versies

belangrijke bedrijfsgegevens die liggen opgeslagen

vóór 2.2), stak ook in januari van dit jaar de kop

in

op. Het probleem wordt geactiveerd wanneer

brengen.

kwetsbare

back-enddatabases,

in

gevaar

gebruikers bepaalde functies in glibc aanroepen, waarmee arbitraire code kan worden uitgevoerd.

Trend Micro Deep Security-gegevens hebben

Gelukkig is het niet eenvoudig om misbruik van dit

uitgewezen dat met behulp van cross-site scripting

probleem te maken en kan slechts een heel klein

(XSS) en SQL-injectie uitgevoerde aanvallen het

aantal systemen hierdoor worden getroffen.22

meest werden gebruikt voor webtoepassingen op bedrijfsservers. OWASP-gegevens (Open Web

Net als kwetsbaarheden aan client- en server

Application Security Project) ondersteunen deze

zijde moeten zwakke plekken in webtoepassingen

bevinding.

worden gepatcht voordat hiervan misbruik wordt 22 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Belangrijkste kwetsbaarheden in webtoepassingen die in Q1 2015 zijn gevonden SQL-injectie

KRITIEK

Vormt een ernstige bedreiging voor elke databasegestuurde webtoepassing; is afkomstig uit niet of onvoldoende gevalideerde invoer die gebruikers via geïnfecteerde webtoepassingen naar databaseservers hebben doorgestuurd in de vorm van SQL-opdrachten; kan aanvallers in staat stellen gegevens uit databases te lezen, te wijzigen, te verwijderen of hier iets aan toe te voegen, wat desastreuze gevolgen kan hebben

Niet-persistente XSS Hiermee kunnen aanvallers schadelijke scripts (meestal aan client-zijde) injecteren in webtoepassingen; XSS maakt misbruik van toepassingen die door gebruikers aangeleverde gegevens niet valideren, filteren of versleutelen; hierbij worden slachtoffers er vaak toe verleid om te klikken op legitiem ogende koppelingen die in werkelijkheid extra gegevens verstrekken zodat er aanvallen kunnen worden uitgevoerd

Maakt misbruik van een ontoereikende beveiligingsvalidatie in webtoepassingen, zodat aanvallers toegang tot bestanden kunnen krijgen via systeempaden met beperkte toegang door te navigeren door de bestandssystemen van de servers; staat ook bekend als 'dot dot slash'- of 'directory traversal'-aanval

HOOG

Pad doorlopen

Mogelijk gevoelige resource gevonden Hiermee kunnen aanvallers informatie verkrijgen over resources die al dan niet zijn gekoppeld aan de structuur van een toepassing (oude reservekopie, serverconfiguratie, server-/databaselogbestand, databaseconfiguratie, databasedumps of gevoelige toepassingsbestanden) om meer geavanceerde aanvallen uit te voeren

Directory-indexering

Gedetailleerde berichten over toepassingsfouten Hiermee krijgen aanvallers toegang tot gevoelige informatie, met inbegrip van interne webtoepassings logica, die is gebundeld met HTML-codes die gebruikers zien wanneer er fouten of uitzonderingen optreden in de webtoepassing

GEMIDDELD

Geldt voor webservers waarvan de indexpagina van de virtuele (sub)directory aan gebruikersagents wordt weergegeven; aanvallers kunnen hiermee nog meer aanvallen uitvoeren door de directorystructuur en de inhoud van kwetsbare webtoepassingen te analyseren of zich zonder toestemming toegang te verschaffen tot directorybestanden

Gevoelige formuliergegevens verzonden zonder SSL Hierdoor kunnen aanvallers de hand leggen op gevoelige gegevens die worden verzonden via toepassingen die geen SSL gebruiken

Broncode include-bestanden onthuld Hiermee kunnen aanvallers zich toegang verschaffen tot gevoelige informatie over de toepassingslogica in broncodes en deze misbruiken

Wordt veroorzaakt door het feit dat er onverwachte uitvoer is gegenereerd; wanneer webtoepassingen lokale paden onthullen, kunnen aanvallers een beeld krijgen van de webrootmappen, waardoor ze op het doelwit afgestemde aanvallen kunnen bedenken om toegang te krijgen tot interne systeembestanden

LAAG

Lokaal pad onthuld

Intern IP-adres weggelekt Hierdoor kan informatie over de interne IP-adressering van het netwerk vrijkomen, die weer kan worden gebruikt om op het doelwit afgestemde aanvallen te bedenken Niet-persistente XSS is het meest voorkomende beveiligingsprobleem voor webtoepassingen. Volgens OWASP “treden XSS-problemen op wanneer een toepassing niet-vertrouwde gegevens ophaalt en verzendt naar een webbrowser met ontoereikende validatie.” Aanvallers kunnen dan mogelijk schadelijke scripts uitvoeren door gebruikers ertoe te verleiden te klikken op speciaal ontwikkelde koppelingen. 23 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Deep Security-gegevens hebben ook uitgewezen

webontwikkeling en soms als programmeertaal

dat beveiligingsproblemen op PHP-servers het

voor algemene doeleinden. Voor het merendeel

meest voorkwamen bij organisaties. Het is zelfs

van deze beveiligingsproblemen dat als 'hoog' tot

zo dat alle 10 grootste beveiligingsproblemen

'kritiek' werd geclassificeerd, zijn patches toegepast

op servers waren gerelateerd aan scripttalen

in de nieuwste PHP-versies.

aan PHP-serverzijde die zijn ontworpen voor

Belangrijkste kwetsbaarheden van platforms die in Q1 2015 zijn gevonden Ernst beoordeling

Betrokken software

CVE-20122688

Kritiek

PHP

Niet nader omschreven

Upgrade naar PHP 5.3.15 of 5.4.5 of hoger

CVE-20122376

Kritiek

PHP

Hiermee kunnen aanvallers arbitraire code uitvoeren

Er moeten nog patches of upgrades worden uitgebracht om dit probleem te verhelpen

CVE-20113268

Kritiek

PHP

Hiermee kunnen aanvallers arbitraire code uitvoeren of geïnfecteerde toepassingen laten crashen

Upgrade naar PHP 5.3.7 of hoger

CVE-20149427

Hoog

PHP

Hiermee kunnen aanvallers geïnfecteerde toepassingen laten crashen, gevoelige informatie ophalen uit het php-cgi-procesgeheugen of onverwacht code uitvoeren

Neem contact op met leveranciers van toepassingen voor informatie over het verhelpen van dit probleem

CVE-20131635

Hoog

PHP

Hiermee kunnen aanvallers toegangsbeperkingen omzeilen


CVE-20111092

Hoog

PHP

Hiermee kunnen aanvallers geïnfecteerde toepassingen laten crashen


CVE-20121823

Hoog

PHP



CVE-20122311

Hoog

PHP



CVE-20122386

Hoog

PHP

Hiermee kunnen aanvallers geïnfecteerde toepassingen laten crashen


CVE-20111153

Hoog

PHP

Hiermee kunnen aanvallers gevoelige informatie ophalen en DoS-aanvallen (Denial-of-Service) plannen


CVE-ID

Beschrijving

Oplossing

PHP was in het afgelopen kwartaal het meest kwetsbare platform, wat bleek uit de problemen die werden aangetroffen in verschillende versies van de scripttaal. Zowel gebruikers als IT-beheerders moeten hun toepassingen bijwerken met de nieuwste patches of een upgrade uitvoeren naar de nieuwste versie. Graag wijzen wij u erop dat Deep Security oplossingen biedt waarmee gerelateerde kwetsbaarheden kunnen worden verholpen. 24 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Nu er steeds meer kwetsbaarheden worden

sprakelijkheid voor het onthullen of patchen van

ontdekt in open-source-besturingssystemen en

problemen is mogelijk een groot onderliggend

-toepassingen, zal het voor IT-beheerders steeds

probleem dat het nog lastiger maakt om alle

lastiger worden om de risico's die hiermee gepaard

potentieel

gaan te beperken. Het gebrek aan directe aan

toepassingen te beveiligen.

kwetsbare

besturingssystemen

en

“De FREAK-aanval herinnerde ons er voor de zoveelste keer aan dat er altijd weer nieuwe gevaren dreigen, hoe goed beveiligd we ook denken dat onze systemen en netwerken zijn. Voor verouderde systemen moet zo mogelijk een upgrade worden uitgevoerd. Bedrijven moeten ervoor zorgen dat ze beschikken over de broncodes van aangepaste toepassingen die externe leveranciers voor ze bouwen. Net als Heartbleed toont ook FREAK weer aan hoe kwetsbaar OpenSSL is. Het is een verouderde technologie die moet worden vervangen door veel betere versleutelingsbibliotheken. Organisaties die vertrouwen op open-source-software en -bibliotheken moeten hun beveiligingsbeleidslijnen evalueren en aanscherpen. Ze moeten onder andere beveiligingsoplossingen gebruiken waarmee de reputatie van IP-adressen en domeinen kan worden beoordeeld. Verder moeten ze netwerkverkeer bewaken met inbreukdetectiesystemen en gebruikmaken van inbraakpreventie om bekende en onbekende bedreigingen te blokkeren.”

Pawan Kinger, Director of Deep Security Labs



Talloze gegevensinbreuken in gezondheidszorg, andere branches verlamd door PoS-malware-aanvallen Het feit dat de beveiliging ontoereikend is en dat niet de beste oplossingen worden gebruikt, ondanks de enorme hoeveelheid vertrouwelijke gegevens die worden opgeslagen in de netwerken van dienstverleners op het gebied van gezondheidszorg, kan wel eens de belangrijkste reden zijn waarom deze netwerken een geliefd doelwit zijn geworden van aanvallers. De grote dienstverleners op het gebied van gezondheidszorg Premera Blue Cross en Anthem werden in maart van dit jaar getroffen door gegevensinbreuken in miljoenen financiële en medische dossiers van hun klanten.23 De inbreuk bij Anthem trof naar verluidt 80 miljoen klanten en werknemers van het bedrijf.24 En bij een aanval op Premera Blue Cross, die in januari van dit jaar werd ontdekt, werden de dossiers van 11 miljoen klanten van dit bedrijf gekraakt.

Met deze gegevensinbreuken verdrongen beide dienstverleners de NHS, waarvan meer dan 8,6 miljoen dossiers werden gekraakt, als zwaarst getroffen dienstverlener op het gebied van gezondheidszorg sinds 2011.25 Dienstverleners op het gebied van gezondheidszorg bewaren meer informatie over klanten dan elk ander type organisatie, maar ze zetten niet altijd de meest effectieve middelen in om hun gegevens te beschermen.26

De meest opvallende gegevensinbreuken bij dienstverleners op het gebied van gezondheidszorg van 2009 tot 2015 Virginia Department of Health | V.S.

National Health Services | V.K.

Dossiers van patiënten, recepten

Niet-versleutelde dossiers van patiënten 2009

Verloren dossiers: 8,3 miljoen

Verloren dossiers: 8,6 miljoen 2010

Advocate Medical Group | V.S. Namen, adressen, geboortedatums, burgerservicenummers

Community Health Systems | V.S. 2011

Vijf jaar aan namen, adressen, burgerservicenummers en andere gegevens van patiënten

Verloren dossiers: 4 miljoen

2012

Verloren dossiers: 4,5 miljoen

Premera Blue | V.S.

2013

Anthem | V.S.

Namen, geboortedatums, e-mailadressen, adressen, telefoonnummers, burgerservicenummers, ID-nummers, gegevens over bankrekeningen, declaraties en klinische status Verloren dossiers: 11 miljoen

2014

Namen, geboortedatums, ID-nummers, burgerservicenummers, adressen, telefoonnummers, e-mailadressen, arbeidsgegevens

2015

Verloren dossiers: 80 miljoen

De gegevensinbreuken bij Anthem en Premera, die beide aan het begin van dit jaar werden ontdekt, zijn de ernstigste gevallen tot nu toe.27 De laatste inbreuk van een dergelijke omvang vond plaats in 2011, toen er bij de NHS laptops werden gestolen die mogelijk onversleutelde patiëntdossiers bevatten. (Opmerking: alleen organisaties waarvan minimaal 4 miljoen dossiers verloren gingen, zijn in dit overzicht meegenomen.) 26 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Hoeveel van de gegevensinbreuken van 2005 t/m 2014 waren gerelateerd aan de gezondheidszorg?

10%

14%

14%

15%

2005

2006

2007

2008

14%

25%

24%

36%

2009

2010

2011

2012

44%

43%

2013

2014

Aan de gezondheidszorg gerelateerde gegevensinbreuken

Het aantal dienstverleners op het gebied van gezondheidszorg dat slachtoffer werd van een inbreuk, was in 2014 viermaal zo groot als in 2005. De gezondheidszorg werd tussen 2012 en 2014 zelfs nog harder getroffen dan het bedrijfsleven en de militaire en de overheidssector.28

In de detailhandel en de dienstverlening bleef het

Gebruikers bleven last hebben van een breed scala

aantal PoS RAM-scrapers gestaag groeien. Door

aan oude en nieuwe varianten van PoS RAM-

de zwakke beveiliging van PoS-systemen groeiden

scrapers. FighterPoS kon in februari van dit jaar

RAM-scrapers uit tot een prima instrument om

worden toegevoegd aan de lijst met beruchte

netwerken mee te kraken, al lukte het niet altijd om

PoS-malware, terwijl de oude bekende BlackPOS-

gerichte aanvallen uit te voeren. Met PoS-malware

malware bedrijven problemen bleef bezorgen. Deze

slaagden aanvallers erin onmiddellijk resultaat te

twee malwareproducten namen een aanzienlijk

boeken in de vorm van enorme winsten.

deel van het totaal aantal infecties voor hun rekening.29



Aantal door PoS RAM-scrapers geïnfecteerde systemen 116 259

300

120

86 65

156 124

150

123

60

73

0

Q1

Q2

2014

Q3

Q4

Q1

0

JAN

FEB

MRT

2015

Sinds we vorig jaar begonnen PoS RAM-scraperdetecties bij te houden, is het aantal meer dan verdubbeld. Dit kan worden toegeschreven aan verbeteringen aan bestaande PoS-malware, zoals bij BlackPOS.30

Landen met het grootste aantal PoS RAM-scraperinfecties in Q1 2015 Verenigde Staten Australië Taiwan Oostenrijk Italië Brazilië Canada Filipijnen Frankrijk Japan Overige

23% 10% 8% 7% 5% 4% 4% 4% 3% 2% 30%

Het grootste aantal PoS-malware-aanvallen vond plaats in de Verenigde Staten, omdat hier de meeste potentiële slachtoffers te vinden zijn. 80% van de bevolking van het land maakte continu gebruik van betaalkaarten in plaats van contant geld.31 28 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Populairste PoS RAM-scraperfamilies in Q1 2015 POCARDL DEXTR POSLOGR POSNEWT JACKPOS POCARDLER POSLUSY ALINAOS POSHOOK ALINA Overige

20% 14% 11% 7% 7% 6% 6% 5% 5% 5% 14%

POCARDL, waarmee de gegevens van betaalkaarten werden gestolen, werd voor het eerst gesignaleerd in oktober 2012. In de eerste drie maanden van 2015 was dit de belangrijkste PoS RAM-scraperfamilie.32

“PoS-malware gaat een belangrijke rol spelen in de beveiligings branche, net als scareware, FAKEAV en ransomware. Dit geldt vooral voor landen zoals de Verenigde Staten, waar de meeste mensen liever betaalkaarten gebruiken dan contant geld.”

Jay Yaneza, Cyberthreat Researcher



Oude bedreigingsactoren staken weer de kop op met nieuwe tools, tactieken en procedures voor gerichte aanvalscampagnes Rocket Kitten en de bedenkers van Operation Pawn Storm hebben hun oog laten vallen op nieuwe doelwitten, wat bewijst dat gerichte aanvallen nog altijd worden gebruikt en zelfs verder worden ontwikkeld. Operation Pawn Storm was een hardnekkige economische en politieke cyberspionage-operatie die kwetsbare iOS™-apparaten gebruikte om bij netwerken binnen te dringen.33 Hoewel het niet de eerste campagne was die gebruikmaakte van mobiele malware om gerichte aanvallen uit te voeren, was Pawn Storm wel de eerste campagne die specifiek gericht was op iOS. De personen die achter deze campagne zaten, gebruikten twee

schadelijke iOS-apps – XAgent (IOS_XAGENT.A) en een nepversie van MadCap (IOS_XAGENT.B) – die vergelijkbaar waren met SEDNIT-varianten op Windows-computers. Conform de continue verbeteringen op het gebied van gerichte aanvallen verbeterde ook Rocket Kitten hun tools, tactieken en procedures (TTP's).34 De personen die achter de operatie zaten, gebruikten OneDrive® om WOOLERG-keyloggers te hosten.

Belangrijke gerichte aanvallen met mobiele malware sinds 2011 Pawn Storm

Wordt in verband gebracht met 90 aanvallen die waren gericht op verschillende branches en/of gemeenschap pen in Japan en India; maakte gebruik van RAT-achtige (Remote-Access-Tool) Android™-malware waarmee informatie werd verzameld en bestanden werden geüpload naar of gedownload van geïnfecteerde apparaten

Was gericht op Tibetaanse en Oeigoerse activisten; maakte gebruik van social engineering-trucs om misbruik te maken van kwetsbare Windows- en Mac OS X-systemen; verspreidde ANDROIDOS_CHULI.A via gehackte e-mailaccounts van activisten

2013

Chuli

2012

Luckycat

2011

Bij economische en politieke spionage-aanvallen door een groep bedreigingsactoren die zich voornamelijk richtten op militair en ambassadepersoneel en personeel van defensieaannemers uit de Verenigde Staten en de landen van hun bondgenoten; werd als eerste specifiek gebruikgemaakt van iOS-malware om bij netwerken binnen te dringen

Xsser mRAT

Regin

2014

Men vermoedt dat deze campagne een initiatief was van Chinees sprekende aanvallers, dat gericht was tegen Chinese demonstranten; Xsser mRAT (ANDROIDOS_Code4HK.A) is malware die geschikt is voor meerdere platforms en die Android- en iOS-apparaten heeft geïnfecteerd; met ANDROIDOS_Code4HK.A werden de sms'jes, e-mails, chatberichten, locatiegegevens, gebruikersnamen en wachtwoorden, logbestanden met oproepgegevens en lijsten met contactpersonen van de slachtoffers gekraakt

Was gericht op overheden, financiële instellingen, telecombedrijven, onderzoeksorganisaties en andere entiteiten in verschillende landen; gebruikte de besturingseenheden van GSM-basisstations (Global System for Mobile Communications) om de referenties te verzamelen die ze nodig hadden om het GSM-netwerk van landen in het Midden-Oosten te manipuleren

Aanvallers richten zich op mobiele apparaten omdat iedereen deze gebruikt. Onveilige mobiele gewoonten die mensen er in hun vrije tijd op na houden, kunnen eenvoudig hun intrede doen in de werkomgeving dankzij de BYOD-trend (Bring-Your-Own-Device).35 30 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Hoe de mensen achter Pawn Storm de beveiligingsmaatregelen voor app stores van grote ondernemingen omzeilden

Aanvallers ontwikkelen malware die is ondertekend met een certificaat voor grote ondernemingen

Aanvallers hosten de malware op een server en gebruiken itms-services om een installatiekoppeling te genereren

De koppeling wordt verzonden naar specifieke personen die er met sluwe social engineeringtactieken toe worden verleid erop te klikken

De malware wordt geïnstalleerd zodra er op de koppeling is geklikt

Hoewel nog altijd onduidelijk is hoe XAgent-malware precies wordt geïnstalleerd, werkt deze malware zelfs op apparaten waarop geen jailbreak is toegepast, als de apps die als drager fungeren zijn ondertekend met het certificaat van Apple voor grote ondernemingen. Lokmiddelen op het gebied van social engineering kunnen de kans dat een apparaat wordt geïnfecteerd ook vergroten.



Exploitkits werden steeds geavanceerder Exploitkits voegen continu exploits voor steeds meer kwetsbaarheden toe aan hun arsenaal. Zo worden ze steeds interessanter voor alle typen aanvallers die altijd uitkijken naar mogelijkheden om meer waar voor hun geld te krijgen. Hun betrokkenheid bij malvertentie-aanvallen in het afgelopen kwartaal wees uit dat dit ook een prima methode was om exploits uit te voeren. Meer dan 70 'in het wild' aangetroffen exploitkits

Flash. En het was de Nuclear-exploitkit die het

kunnen misbruik maken van meer dan 100

meest werd gebruikt in de eerste drie maanden

kwetsbaarheden. Sinds de arrestatie van Paunch

van 2015.

36

in 2013 is het aantal exploitkits dat wordt gebruikt, aanzienlijk gedaald. Hoewel exploitkits dus niet op

Japan was het favoriete land van de aanvallers, zoals

grote schaal worden ingezet, zijn ze wel bijzonder

bleek uit verschillende malvertentie-aanvallen die

geavanceerd. Exploitkits worden immers continu

vooral gericht waren op Japanse gebruikers.37

bijgewerkt en kunnen daardoor misbruik maken Net als voorheen bevatten de meest populaire kits

van steeds meer kwetsbaarheden.

exploits voor Adobe Flash en Internet Explorer. Dit De Hanjuan-exploitkit werd bijvoorbeeld ingezet

komt waarschijnlijk door het feit dat deze software

bij de eerder genoemde zero-day-aanval via Adobe

door heel veel mensen wordt gebruikt.

Kwetsbaarheden waarvan gebruik wordt gemaakt door exploitkits Nuclear Internet Explorer

CVE-2013-2551

Microsoft Silverlight®

CVE-2013-0074

Adobe Flash

CVE-2014-0515 CVE-2014-0569 CVE-2014-8439 CVE-2015-0311

Adobe Acrobat® Reader

CVE-2010-0188

Oracle JavaTM

CVE-2012-0507

XMLDOM ActiveX

CVE-2013-7331

Sweet Orange CVE-2013-2551 CVE-2014-0322 CVE-2014-6332

CVE-2014-0515 CVE-2014-0569

FlashPack CVE-2013-2551 CVE-2013-3918 CVE-2014-0322

CVE-2013-0634 CVE-2014-0497 CVE-2014-0515 CVE-2014-0569

Rig

Angler

CVE-2013-2551

CVE-2013-2551

CVE-2013-0074

CVE-2013-0074

CVE-2014-0569 CVE-2015-0311

CVE-2014-0515 CVE-2014-0569 CVE-2015-0311

Magnitude

CVE-2013-2551

CVE-2014-0515

Fiesta

Styx

CVE-2013-2551

CVE-2013-2551

CVE-2013-0074

CVE-2013-0074

CVE-2014-0497 CVE-2014-0569 CVE-2015-0311

CVE-2014-0515

Hanjuan

CVE-2015-0313

CVE-2010-0188

CVE-2013-2460 CVE-2013-5471

CVE-2013-2465

CVE-2013-7331

CVE-2013-7331

CVE-2012-0507 CVE-2014-2465

CVE-2013-7331

Alle kits die bij de belangrijkste aanvallen uit het eerste kwartaal van 2015 werden gebruikt, bevatten Adobe Flash-exploits. 32 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


Aantal keren dat gebruikers zich toegang verschaften tot servers met exploitkits in Q4 2014 en Q1 2015 Sweet Orange

Angler

Q4 2014

1.077.223

363.982

155.816

140.604

14.671

26.943

25.133

Geen 1.804.372 gegevens

Q1 2015

264.897

590.063

255.593

42.424

740.037

321.712

61.952

103.924 2.380.602

-75,4%

62,1%

64,0%

-69,8%

4944,2%

1094%

146,5%

Toename

Magnitude

Rig

Nuclear

Neutrino

Fiesta

Hanjuan

Geen gegevens

Totaal

31,9%

Exploitkits waartoe gebruikers zich het vaakst toegang verschaften in Q1 2015

Nuclear Angler Neutrino Sweet Orange Magnitude Hanjuan Fiesta Rig

31% 25% 13% 11% 11% 4% 3% 2%

In dit kwartaal is het percentage aan exploitkits gerelateerde activiteiten met 30% gestegen. De Nuclear-exploitkit noteerde het hoogste aantal hits van gebruikers, wat waarschijnlijk te maken heeft met de gesignaleerde gerelateerde malvertentie-aanvallen. Het dalende aantal hits voor de Sweet Orange-kit kan daarentegen worden toegeschreven aan het feit dat bepaalde advertentienetwerken schadelijke advertenties van hun platforms hebben verwijderd.



Landen die het hardst zijn getroffen door aanvallen waarbij exploitkits betrokken waren Japan Verenigde Staten Australië Canada Denemarken Frankrijk Verenigd Koninkrijk Italië Brazilië Spanje Overige

52% 31% 5% 1% 1% 1% 1% 1% 1% 1% 5%

Japan was het land dat het hardst werd getroffen. Dit kwam waarschijnlijk door het grote aantal malvertentie-aanvallen van begin dit jaar waarbij exploitkits betrokken waren en die specifiek gericht waren op Japanse gebruikers.

Hoewel het aantal nieuwe exploitkits daalde, bleef in het afgelopen kwartaal een aanzienlijk aantal oude kits actief. Is dit misschien de stilte voor de storm? Houden de ontwikkelaars van exploitkits zich gedeisd om hun producten in alle rust te verbeteren voordat ze ermee de markt op gaan?

Dagelijkse exploitkit-activiteit in Q1 2015 5

100K

Nuclear Angler

4

Neutrino Sweet Orange

2

50K

Magnitude Hanjuan

3

Fiesta

1

Rig 0

JAN

FEB

MRT

(Opmerking: zie voor meer informatie over de pieken in de grafiek hierboven de bijbehorende nummers in de tekst eronder.) Dat de Sweet Orange-exploitkit (1) minder vaak werd gebruikt, kwam doordat AOL actie ondernam om malvertenties van zijn platform te verwijderen. Angler (2 en 4) en Hanjuan (2) werden gebruikt om computers met BEDEP-zero‑day-malware te infecteren van eind januari tot en met begin februari. Dit is een van de redenen waarom gebruikers zich vaker toegang verschaften tot hun servers. De Nuclear-exploitkit (3 en 5) werd daarentegen gebruikt bij een malvertentie-aanval via pornografische sites. 34 | Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen


“Bij steeds meer aanvallen wordt gebruikgemaakt van malvertenties in plaats van aangetaste sites of spam. Door misbruik te maken van legitieme advertentienetwerken slaagden aanvallers er immers in hun kwade bedoelingen te maskeren. Aanvallers verbeteren hun tools en tactieken continu om de effectiviteit van hun campagnes te vergroten en hun omzet te verhogen. De kans is groot dat er in de loop van 2015 meer van dergelijke aanvallen zullen worden uitgevoerd.”

Joseph C. Chen, Engineer



Overzicht van bedreigingslandschap Over het algemeen daalde het aantal bedreigingen

door malware, piekte het spamvolume. Dit kan

in vergelijking met het vierde kwartaal van 2014.

erop duiden dat e-mail weer de populairste

Terwijl we gebruikers minder vaak de toegang

infectievector

hoefden te ontzeggen tot schadelijke domeinen

computers te infecteren met oude bedreigingen

en er minder apparaten werden geïnfecteerd

zoals macromalware.

Totaal aantal geblokkeerde bedreigingen in Q1 2015 6 miljard

was

geworden

om

kwetsbare

Opsporingspercentage van Trend Micro: Aantal per seconde geblokkeerde bedreigingen in Q1 2015 2 K/s

1931

5,2

1858

5

miljard

1595

miljard

3,9 miljard 3 miljard

1 K/s

0

0

JAN

FEB

MRT

In het afgelopen kwartaal hebben we gemiddeld 4,7 miljard bedreigingen per maand geblokkeerd. Dit is 1,5 miljard meer dan in het laatste kwartaal van 2014.

JAN

FEB

MRT

We hebben in het afgelopen kwartaal gemiddeld 1800 bedreigingen per seconde geblokkeerd. Dat is 600 bedreigingen per seconde meer dan de eerder behaalde score van 1200 bedreigingen per seconde.



Aantal als spam geblokkeerde query's voor e-mailreputatie in Q1 2015

Aantal geblokkeerde bezoeken van gebruikers aan schadelijke sites in Q1 2015 350 miljoen

5 miljard

4,6

315

miljard

miljoen

4,1 miljard 236

3,3 miljard

2,5 miljard

miljoen

252 miljoen

175 miljoen

0

0

JAN

FEB

JAN

MRT

We hebben ervoor gezorgd dat in totaal 12 miljard e-mails die afkomstig waren van spam versturende IP‑adressen, het postvak IN van gebruikers niet konden bereiken.

FEB

MRT

We hebben in het afgelopen kwartaal meer dan 800 miljoen bezoeken van gebruikers aan schadelijke sites geregistreerd, en dit aantal werd elke maand hoger.

Aantal geblokkeerde schadelijke bestanden in Q1 2015 600 miljoen

522 miljoen

361 300 miljoen

351

miljoen

miljoen

JAN

FEB

0

MRT

We hebben er in het afgelopen kwartaal voor gezorgd dat meer dan een miljard schadelijke bestanden geen apparaten konden infecteren. De hoeveelheid malware is tussen februari en maart van dit jaar bijna verdubbeld.



De KRYPTIK-familie van Trojaanse paarden,

Veel van de domeinen waartoe we gebruikers

die voornamelijk consumenten dupeerde, is in

in het afgelopen kwartaal het vaakst de toegang

het afgelopen kwartaal toegevoegd aan de lijst

hebben ontzegd, waren adware-gerelateerd. Dit

met de populairste malware. Deze Trojaanse

zou best wel eens verband kunnen houden met de

paarden stonden erom bekend dat gebruikers zo

stijging van het aantal malvertentie-aanvallen die

bang werden gemaakt met waarschuwingen op

is geconstateerd. Incidenteel voerde ook adware de

het scherm dat ze wel moesten mee werken. Met

lijst met mobiele bedreigingstypen aan. In totaal

deze Trojaanse paarden wordt geprobeerd andere

hebben we tot nu toe meer dan 5 miljoen Android-

schadelijke bestanden naar reeds geïnfecteerd

bedreigingen geregistreerd, waardoor we al aardig

computers te downloaden. De KRYPTIK-familie

in de buurt komen van het door ons voorspelde

slaagde er echter niet in SALITY en DOWNAD van

totaal van 8 miljoen aan het einde van 2015.

de twee hoogste posities op de lijst te verdrijven.

Schadelijke domeinen waartoe gebruikers het vaakst de toegang is ontzegd in Q1 2015 Domein

Reden voor toegangsontzegging

files-download-131.com

Downloadt mogelijk ongewenste bestanden (PUA's)38

enhizlitakip.com

Gerelateerd aan een scam voor Turkse Twitter-volgers

cnfg.toolbarservices.com

Gerelateerd aan adware die zich voordoet als browserwerkbalk

s.trk-u.com

Gerelateerd aan adware die zich voordoet als browserwerkbalk

s.ad120m.com

Site waarmee een TROJ_GEN-variant communiceert

sso.anbtr.com

Site waarmee PE_SALITY.RL communiceert

f0fff0.com

Opent pop-uppagina's die adware downloaden

fa8072.com

Opent pop-uppagina's die adware downloaden

creative.ad120m.com

Site waarmee een TROJ_GEN-variant communiceert

lovek.info

Is gerelateerd aan klikfraude De meeste schadelijke domeinen waartoe we in het afgelopen kwartaal gebruikers de toegang hebben ontzegd, waren betrokken bij de plaatsing van adware en waren gerelateerd aan andere scams.



Landen met het grootste aantal schadelijke URL's in Q1 2015

Verenigde Staten Nederland China Rusland Costa Rica Duitsland Verenigd Koninkrijk Portugal Japan Zuid-Korea Overige

29% 7% 6% 3% 2% 1% 1% 1% 1% 1% 48%

De Verenigde Staten bleven de lijst van landen met het grootste aantal schadelijke URL's aanvoeren. Frankrijk en Hongarije moesten hun positie op de lijst afstaan aan Costa Rica en Portugal.

Landen met het grootste aantal gebruikers dat op schadelijke URL's heeft geklikt in Q1 2015 Verenigde Staten Japan Australië Taiwan India China Frankrijk Duitsland Canada Italië Overige

33% 24% 5% 4% 3% 3% 3% 2% 2% 2% 19%

De Verenigde Staten voerden niet alleen de lijst met het grootste aantal schadelijke URL's aan, maar registreerden ook het grootste aantal gebruikers dat op schadelijke koppelingen heeft geklikt.



Populairste spamtalen in Q1 2015 Engels Chinees Duits Japans Russisch Portugees Spaans Pools Frans Italiaans Overige

84,49% 1,86% 1,27% 1,15% 0,70% 0,61% 0,54% 0,43% 0,38% 0,09% 8,48%

Engels bleef de taal die het meest werd gebruikt voor spam.

Landen waarvandaan de meeste spam werd verzonden in Q1 2015 Verenigde Staten Rusland China Japan Vietnam Italië Spanje Argentinië Iran Duitsland Overige

16% 5% 5% 5% 5% 4% 4% 4% 3% 3% 46%

In overeenstemming met het feit dat de taal die het meest werd gebruikt voor spam Engels was, voerde de Verenigde Staten de lijst aan van landen waarvandaan de meeste spam werd verzonden. Iran nam de plaats van Oekraïne in op de lijst.



Populairste malwarefamilies in Q1 2015 Detectienaam

Volume

SALITY

86K

DOWNAD

83K

KRYPTIK

71K

BROWSEVIEW

69K

GAMARUE

65K

DUNIHI

49K

VIRUX

42K

UPATRE

41K

FORUCON

39K

RAMNIT

29K

Populairste malwarefamilies per segment in Q1 2015 Segment Grote ondernemingen

MKB

Consumenten

Detectienaam

Volume

DOWNAD

62K

SALITY

35K

DUNIHI

29K

DOWNAD

12K

DLOADR

11K

UPATRE

10K

KRYPTIK

61K

GAMARUE

38K

SALITY

36K

Hoewel KRYPTIK in het afgelopen kwartaal al snel kon worden opgenomen in de lijst met populairste malware, slaagde deze malware er niet in oude lijstaanvoerders als SALITY en DOWNAD van de troon te stoten.



Populairste adwarefamilies in Q1 2015 Detectienaam

Volume

OPENCANDY

454K

DEALPLY

224K

MYPCBACKUP

183K

MYPCBaACKUP

142K

PULSOFT

122K

TOMOS

113K

MULTIPLUG

109K

INSTALLCORE

102K

ELEX

90K

SPROTECT

67K

Populairste adwarefamilies per segment in Q1 2015

Segment Grote ondernemingen

MKB

Detectienaam OPENCANDY

68K

DEALPLY

46K

TOMOS

18K

OPENCANDY

29K

DEALPLY

23K

MYPCBACKUP

Consumenten

Volume

8K

OPENCANDY

346K

MYPCBACKUP

156K

DEALPLY

135K

De populaire OPENCANDY-adware bleef in diverse gebruikerssegmenten stug de lijst aanvoeren van adware die apparaten infecteert.



Populairste Android-malwarefamilies in Q1 2015 Danpay Inoco Youm Agent AdultPlayer Jxt Gexin Guidead AppInst FakeApp Overige

14% 12% 6% 6% 4% 4% 2% 2% 1% 1% 48%

Danpay was in het afgelopen kwartaal de meest beruchte Android-malwarefamilie. Deze malware verschafte zich onder andere toegang tot C&C-servers en wachtte daar op schadelijke opdrachten, terwijl intussen andere apps werden gedownload op apparaten die al waren geïnfecteerd.

Populairste Android-adwarefamilies in Q1 2015 AdLeak Igexin AdFeiwo Noiconads FeiwoDown Appquanta Arpush RevMob SnailCut GoYear Overige

8% 7% 6% 5% 5% 4% 4% 4% 3% 3% 51%

AdLeak, een algemene detectienaam van Trend Micro voor apps die de privacy van gebruikers in gevaar kunnen brengen, voerde in het afgelopen kwartaal de lijst aan van mobiele adware.



Meest gesignaleerde Android-bedreigingstypen in Q1 2015 50%

48%

25%

18% 14%

14% 4%

2%

0

ADWARE

DATA STEALERS

PAYWARE

MISBRUIK SCHADELIJKE VAN PREMIUM DOWNLOADS SERVICES

OVERIGE

Adware bleef het belangrijkste bedreigingstype voor Android-apparaten. Payware verwijst naar PUA's die gebruikers ertoe overhalen akkoord te gaan met de betaling van frauduleuze kosten of toeslagen. PUA's zijn van nature niet schadelijk, maar ze kunnen wel functionaliteit bevatten die de gegevens van gebruikers in gevaar kan brengen of hun mobiele ervaring kan verstoren.

Cumulatieve groei van Android-bedreigingen vanaf Q1 2015 5,4 miljoen

6 miljoen

4,9 miljoen

3,8 miljoen

4,1 miljoen

4,3 miljoen

4,6 miljoen

3 miljoen

0

OKT 2014

NOV

DEC

JAN 2015

FEB

MRT

Het merendeel van de Android-bedreigingen die we in het afgelopen kwartaal hebben ontdekt, bestaat uit PUA's.



Landen waar het grootste aantal C&C-servers werd gehost in Q1 2015 Verenigde Staten Oekraïne Duitsland Rusland Frankrijk Verenigd Koninkrijk Nederland China Zuid-Korea Portugal Overige

29% 9% 7% 7% 4% 4% 4% 3% 3% 2% 28%

C&C-servers werden aangetroffen in diverse landen, zoals bijvoorbeeld de Verenigde Staten, Oekraïne en Duitsland. Aanvallers hoeven niet per se te wonen in deze landen om toegang te krijgen tot hun C&C-servers, aangezien deze op afstand kunnen worden bediend. De meeste landen in deze lijst komen ook voor in de lijst met landen met het grootste aantal schadelijke URL's. Dit kan erop duiden dat er misbruik wordt gemaakt van de hostingservice en -infrastructuur in deze landen.

Landen met het grootste aantal verbindingen met C&C-servers in Q1 2015 Verenigde Staten Japan Australië Taiwan Duitsland India Canada Frankrijk Maleisië Italië Overige

51% 9% 5% 4% 4% 4% 2% 2% 2% 1% 16%

De Verenigde Staten noteerden het grootste aantal C&C-verbindingen. Logischerwijs voerden de VS ook de lijst aan van landen met het grootste aantal gebruikers dat op schadelijke URL's heeft geklikt. Dit kan erop duiden dat het merendeel van de geregistreerde toegangspogingen botnetgerelateerd waren.



Malwarefamilies met het grootste aantal gerelateerde C&C-servers in Q1 2015 1,5K

1316

0,75K

745

385

379

TROJAN

GOZEUS

348

0

CRILOCK

DUNIHI

ZEUS

Varianten van de ransomware CRILOCK verschaften zich het vaakst toegang tot C&C-servers in het afgelopen kwartaal.

Malwarefamilies met het grootste aantal slachtoffers in Q1 2015 350K

349K

379 175K

36K

31K

PUSHDO/ WIGON

CLACK

18K

0

POWELIKS

BADUR

POWELIKS maakte in het afgelopen kwartaal het grootste aantal slachtoffers. Waarschijnlijk komt dit door de gebruikte maskeringstechniek, die ervoor zorgt dat de malware verborgen blijft in geïnfecteerde systemen.



Literatuur 1.

U.S. Senate Committee on Homeland Security & Governmental Affairs. (14 mei 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. “Permanent Subcommittee on Investigations Releases Report: ‘Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.’” Voor het laatst geopend op 7 mei 2015, http://www.hsgac.senate.gov/media/ permanent-subcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy.

2.

Brooks Li en Joseph C. Chen. (16 maart 2015). TrendLabs Security Intelligence Blog. “Exploit Kits and Malvertsing: A Troublesome Combination.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-andmalvertising-a-troublesome-combination/.

3.

Peter Pi. (2 februari 2015). TrendLabs Security Intelligence Blog. “Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/.

4.

Alvin Bacani. (5 februari 2015). TrendLabs Security Intelligence Blog. “BEDEP Malware Tied to Adobe Zero Days.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/.

5.

Trend Micro Incorporated. (20 februari 2015). TrendLabs Security Intelligence Blog. “Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD.” Voor het laatst geopend op 16 april 2015, http://www.trendmicro.com/vinfo/us/ security/news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl.

6.

Lenovo. (19 februari 2015). Lenovo. “Lenovo Statement on Superfish.” Voor het laatst geopend op 16 april 2015, http://news.lenovo.com/article_display.cfm?article_id=1929.

7.

Vangie Beal. (2015). Webopedia. “Bloatware.” Voor het laatst geopend op 20 april 2015, http://www.webopedia.com/TERM/B/ bloatware.html.

8.

Seven Shen. (2 april 2015). TrendLabs Security Intelligence Blog. “The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-betweenad-and-adware-a-closer-look-at-the-mdash-sdk/.

9.

Trend Micro Incorporated. (13 februari 2013). TrendLabs Security Intelligence Blog. “Key Figure in Police Ransomware Activity Nabbed.” Voor het laatst geopend op 23 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-policeransomware-activity-nabbed-2/.

10. David John Agni. (2015). Threat Encyclopedia. “TROJ_CRYPFORT.A.” Voor het laatst geopend op 16 april 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A. 11. Francis Xavier Antazo. (2015). Threat Encyclopedia. “PHP_CRYPWEB.A.” Voor het laatst geopend op 16 april 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A. 12. Anthony Joe Melgarejo. (1 april 2015). TrendLabs Security Intelligence Blog. “Crypto-Ransomware Sightings and Trends for 1Q 2015.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightingsand-trends-for-1q-2015/. 13. David John Agni. (2015). Threat Encyclopedia. “TROJ_CRYPTESLA.A.” Voor het laatst geopend op 16 april 2015, http://www. trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A. 14. Shirley Siluk. (13 april 2015). CIO Today. “Ransomware Hackers Hitting Police Departments.” Voor het laatst geopend op 16 april 2015, http://www.cio-today.com/article/index.php?story_id=033001297WKR. 15. Maydalene Salvador. (24 maart 2015). TrendLabs Security Intelligence Blog. “Macro-Based Malware Increases Along with Spam Volume, Now Drops BARTALEX.” Voor het laatst geopend op 16 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/ macro-based-malware-increases-along-with-spam-volume-now-drops-bartalex/. 16. Trend Micro Incorporated. (16 februari 2015). TrendLabs Security Intelligence Blog. “Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabssecurity-intelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/.



17. Rhena Inocencio. (5 november 2014). TrendLabs Security Intelligence Blog. “Banking Trojan DRIDEX Uses Macros for Infection.” Voor het laatst geopend op 6 mei 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-forinfection/. 18. Joie Salvio. (19 november 2014). TrendLabs Security Intelligence Blog. “ROVNIX Infects Systems with Password-Protected Macros.” Voor het laatst geopend op 6 mei 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-withpassword-protected-macros/. 19. Trend Micro Incorporated. (4 maart 2015). TrendLabs Security Intelligence Blog. “FREAK Vulnerability Forces Weaker Encryption.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerabilityforces-weaker-encryption/. 20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago Zanella-Béguelin, Jean-Karim Zinzindohoué en Benjamin Beurdouche. (2015). MiTLS. “SMACK: State Machine AttaCKs.” Voor het laatst geopend op 17 april 2015, https://www.smacktls.com/#freak. 21. Tracking the FREAK Attack.” (2015). Voor het laatst geopend op 30 april 2015, https://freakattack.com/. 22. Pawan Kinger. (28 januari 2015). TrendLabs Security Intelligence Blog. “Not So Spooky: Linux ‘GHOST’ Vulnerability.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/. 23. Trend Micro Incorporated. (20 maart 2015). Trend Micro Security News. “Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients.” Voor het laatst geopend op 17 april 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/premera-blue-cross-data-breach-exposes-11m-patient-records. 24. Christopher Budd. (5 februari 2015). Trend Micro Simply Security. “The Anthem Data Breach: What You Need to Know.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/. 25. Jack Clark. (15 juni 2011). ZDNet. “NHS Laptop Loss Could Put Millions of Records at Risk.” Voor het laatst geopend op 30 april 2015, http://‌www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/. 26. Trend Micro Incorporated. (10 februari 2015). Trend Micro Security News. “Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets.” Voor het laatst geopend op 17 april 2015, http://www.trendmicro.com/vinfo/us/security/news/cyberattacks/millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets. 27. Miriam Quick, Ella Hollowood, Christian Miles en Dan Hampson. (30 maart 2015). Information Is Beautiful. “World’s Biggest Data Breaches.” Voor het laatst geopend op 23 april 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-databreaches-hacks/. 28. Identity Theft Resource Center. (2015). ITRC. “2008 Data Breaches.” Voor het laatst geopend op 23 april 2015, http://www.idtheftcenter.org/ITRC-Surveys-Studies/2008-data-breaches.html. 29. Jay Yaneza. (3 maart 2015). TrendLabs Security Intelligence Blog. “PwnPOS: Old Undetected PoS Malware Still Causing Havoc.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malwarestill-causing-havoc/. 30. Rhena Inocencio. (29 augustus 2014). TrendLabs Security Intelligence Blog. “New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts.” Voor het laatst geopend op 23 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/newblackpos-malware-emerges-in-the-wild-targets-retail-accounts/. 31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. “Infographic: Cash Vs. Card.” Voor het laatst geopend op 23 april 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx. 32. Trend Micro Incorporated. (2014). Trend Micro Security Intelligence. “Cybercrime Hits the Unexpected: TrendLabs 1Q 2014 Security Roundup.” Voor het laatst geopend op 23 april 2015, http://www.trendmicro.co.uk/media/misc/cybercrime-hits-the-unexpecteden.pdf. 33. Lambert Sun, Brooks Hong en Feike Hacquebord. (4 februari 2015). TrendLabs Security Intelligence Blog. “Pawn Storm Update: iOS Espionage App Found.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawnstorm-update-ios-espionage-app-found/.



34. Cedric Pernet. (18 maart 2015). TrendLabs Security Intelligence Blog. “Operation Woolen-Goldfish: When Kittens Go Phishing.” Voor het laatst geopend op 17 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-whenkittens-go-phishing/. 35. Trend Micro Incorporated. (27 februari 2015). Trend Micro Security News. “Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks.” Voor het laatst geopend op 23 april 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/ pawn-storm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks. 36. Trend Micro Incorporated. (16 maart 2015). Trend Micro Security News. “Exploit Kits: Past, Present and Future.” Voor het laatst geopend op 17 april 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-andfuture. 37. Peter Pi. (20 maart 2015). TrendLabs Security Intelligence Blog. “Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.” Voor het laatst geopend op 23 april 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-tonuclear-exploit-kit/. 38. Trend Micro Incorporated. (2015). Threat Encyclopedia. “Potentially Unwanted Application.” Voor het laatst geopend op 30 april 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app.


Opgesteld door:

Het mondiale centrum voor technische ondersteuning en R&D van TREND MICRO

TREND MICRO TM Trend Micro Incorporated is wereldwijd marktleider op het gebied van cloudbeveiliging en streeft naar een wereld waarin, dankzij de oplossingen voor de beveiliging van internetcontent en risicobeheer, ondernemingen en consumenten veilig digitale informatie kunnen uitwisselen. Als pionier op het gebied van serverbeveiliging met meer dan 20 jaar ervaring leveren we hooggewaardeerde client-, server- en cloudbeveiliging die voldoet aan de wensen en eisen van onze klanten en partners, die nieuwe bedreigingen sneller tegenhoudt en die gegevens beschermt in fysieke, gevirtualiseerde en cloudomgevingen. Onze toonaangevende technologie, producten en services voor de beveiliging van cloud computing werken met de infrastructuur van het Trend Micro™ Smart Protection Network™, houden bedreigingen tegen waar deze opkomen, op internet, en worden ondersteund door meer dan 1000 bedreigingsdeskundigen over de hele wereld. Ga voor aanvullende informatie naar www.trendmicro.com

©2015 by Trend Micro, Incorporated. Alle rechten voorbehouden. Trend Micro en het Trend Micro t-ball logo zijn handelsmerken of gedeponeerde handelsmerken van Trend Micro, Incorporated. Alle overige product- of bedrijfsnamen zijn mogelijk handelsmerken of gedeponeerde handelsmerken van hun eigenaren.

Onbetrouwbare reclame en 'zero days': vertrouwen in toeleveringsketens en best practices onder druk door oude bedreigingen

Recommend Documents