Fordobling i antallet af ransomware-angreb i anden halvdel af 2016

Check Point® Software Technologies Ltd. offentliggør i dag deres Global Threat Intelligence Trends rapport for andet halvår af 2016 (H2), der afslører, at angreb med ransomware er fordoblet. Ud af alle registrerede malware-angreb globalt i perioden fra juli til december 2016 steg mængden af ransomware fra 5,5% til 10,5%.

Rapporten for andet halvår fremhæver de vigtigste taktikker og metoder, som de IT-kriminelle bruger til at angribe virksomheder og organisationer og giver en detaljeret oversigt over trusselslandskabet i de vigtigste malwarekategorier, som er ransomware, banking og mobil.

Rapporten er baseret på data fra Check Point’s ThreatCloud World Cyber Threat Map i perioden juli til december 2016.

 

• Monopol på ransomware markedet – tusindvis af nye ransomware varianter blev observeret i 2016. I de seneste måneder har vi været vidne til en ændring i ransomware-landskabet, som blev mere centraliseret omkring et par større malware-familier, der dominerer markedet og rammer organisationer af alle størrelser.
• DDoS angreb gennem IoT-enheder – I august 2016 blev det første Internet of Things (IoT) botnet opdaget – det i dag berygtede Mirai Botnet. Mirai angriber især sårbare videooptagere og overvågningskameraer, som er forbundet til internettet og laver dem om til bots, som de IT-kriminelle kan bruge til at foretage adskillelige trafiktunge Distributed Denial of Service (DDoS) angreb, der overbelaster virksomheder og internetudbyderes servere. I dag står det helt klart, at der findes sårbare IoT-enheder i stort set alle hjem, og at de massive DDoS angreb baseret på disse vil fortsætte.
• Nye filtyper brugt i spam-kampagner – Den hyppigste angrebsvektor brugt til at brugt inficere virksomheder med ondsindet spam i andet halvår af 2016, var downloaders baseret på Windows Script engine (WScript). Downloaders skrevet i JavaScript (JS) og VBScript (VBS) dominerede mal-spam distributionen sammen med mindre kendte formater som JSE, WSF, VBE.

 

Top malware i 2. halvår 2016:

• Conficker (14.5%) – En orm, der tillader eksterne operationer og malware-download. Maskiner som rammes af Conflicker, bliver styret af et botnet, der kontakter Command & Control serveren for instruktioner.

• Sality (6.1%) – Denne virus gør det muligt at oprette en fjernforbindelse og derved downloade yderligere malware til det allerede inficerede system.

 

1. Cutwail (4.6%) – Botnet, der sender spam-mails og foretager enkelte DDoS angreb. Når Cutwail er installeret, tilslutter den direkte til en command and control server med instruktioner om hvilke e-mails, den skal sende. Efter den har udført sit arbejde, rapportere Cutvail tilbage til bagmændene med præcise statistikker omkring sine resultater.
2. JBossjmx (4.5%) – En orm, som angriber systemer med en sårbar version af JBoss Application Server installeret. Denne malware skaber en JSP side på sårbare systemer, som udfører kommandoer fra en ekstern IRC-server.
3. Locky (4.3%) – Denne type af Ransomware, blev opdaget i februar 2016. Den bliver spredt hovedsageligt via spam e-mails, der indeholder en downloader forklædt som en Word eller Zip-fil, som henter og installerer malware, der krypterer brugernes filer.

 

Top ransomware andet halvår 2016:

I perioden juli til december 2016 steg procentdelen af ransomware-angreb fra 5,5% til 10,5%. I nedenstående er de ransomware-varianter listet, som foretog flest angreb:

1. Locky 41% – I første halvår 2016 var det kun den tredje mest almindelige ransomware-variant, men der skete en voldsom stigning i angreb med Locky i andet halvår.
2. Cryptowall 27% – Denne ransomware startede som en Cryptolocker dobbeltgænger, men endte med at overgå den. I dag er Cryptowall en af de mest markante ransomwares til dato, der er kendt for sin brug af AES-kryptering og for at foretage sine command and control-instruktioner over det anonyme TOR-netværk. Den spredes bredt via exploit kits, maltervising og phising kampagner.
3. Cerber 23% – Cerber er verdens største ransomware-as-a-service. Cerber er baseret på en franchiseordning, hvor udviklerne rekrutterer personer, der spreder malwaren mod en del af overskuddet.

Top Mobil Malware andet halvår 2016:

1. Hummingbad 60% – Denne androidbaserede malware, der først blev opdaget af Check Point’s research team, etablerer et rootkit og installerer falske applikationer på enheden. Med få yderligere modifikationer giver det hackerne mulighed for at foretage flere ondsindede aktiviteter, såsom key-logging, tyveri af personfølsomme data og muligheden for at gå uden om de krypterede containere, der anvendes af virksomheder.
2. Triada 9% – En moduler backdoor til Android, som giver superbruger privilegier til downloadet malware og hjælper det med at blive indlejret i systemet.
3. Ztorg 7% – Trojansk hest, der bruger root privilegier til at downloade og installere programmer på enheden uden brugerens viden.

Top banking malware andet halvår 2016:

1. Zeus 33% – Trojansk hest, der er rettet mod Windows-platforme og ofte bruges til at stjæle bankoplysninger med keystroke logging.
2. Tinba 21% – Trojansk hest, der stjæler personers personfølsomme data. Denne malware aktiveres når brugerne forsøger at logge ind på deres bank.
3. Ramnit 16% – Trojansk hest der stjæler bank legitimationsoplysninger, FTP passwords, session cookies og persondata.

Statistikken i rapporten er baseret på data hentet fra ThreatCloud World Cyber Threat Map. Check Points ThreatCloud er det største samarbejdsnetværk til at bekæmpe cyberkriminalitet, der leverer de mest opdaterede data om trusler og angrebstendenser fra et globalt netværk af sensorer.
ThreatCloud identificerer millioner af malware typer dagligt, og indeholder mere end 250 millioner adresser analyseret for bots, samt over 11 millioner malware signaturer og 5,5 millioner inficerede hjemmesider. Rapporten kan tilgås her