Nieuws uit 02. oktober 2020

Trickbot malware afgelopen half jaar verdrievoudigd

Iedere 6,5 minuten publiceren cybercriminelen een nieuw Trickbot sample

G DATA CyberDefense kondigt vandaag zijn nieuwste dreigingsanalyse aan. Opvallend is dat de hoeveelheid Trickbot malware het afgelopen half jaar is verdrievoudigd. Iedere 6.5 minuten publiceren cybercriminelen een nieuw Trickbot sample. Daarnaast zag de innovatieve pionier op het gebied van IT-beveiliging de hoeveelheid adware aanvallen flink toenemen.

Trickbot is geen onbekende en werd al in 2016 waargenomen. Trickbot is een dominante multifunctionele bot die voortdurend wordt bijgewerkt met nieuwe mogelijkheden, functies en distributievectoren. Hierdoor is Trickbot een flexibele en aanpasbare malware die kan worden verspreid voor verschillende doeleinden. Het kan onder meer worden gebruikt om inloggegevens te stelen, een backdoor te installeren, andere malware te downloaden of spammails te sturen.

In mei werden ook veel adware campagnes geïdentificeerd en gestopt, waardoor de hoeveelheid gedetecteerde malware in april en mei werd verdubbeld (+119,4 procent). Hoewel adware op het eerste gezicht minder schade aanricht dan ransomware, mogen gebruikers dergelijke aanvallen niet onderschatten. Deze vorm van malware verzamelt persoonlijke gegevens zoals surfgedrag. De gegevens worden door cybercriminelen vervolgens omgezet in geld. De sterke toename is ook te wijten aan het feit dat adware steeds beter is geworden. Sommige adware is bijvoorbeeld in staat om antivirusprogramma's of besturingssystemen te omzeilen. Een andere reden is dat er, in tegenstelling tot andere kwaadaardige malware, vrijwel geen technische kennis nodig is om passende adware campagnes te ontwikkelen. De inspanning is minimaal, het rendement maximaal.

Iedere seconde nieuwe malware samples

In de eerste helft van het jaar zijn cybercriminelen het tempo blijven opvoeren en proberen ze met steeds kortere tussenpozen hun kwaadaardige code te verbergen voor antivirusoplossingen met behulp van packers.

De onderzoekers van G DATA hebben in het tweede kwartaal van dit jaar een stijging van meer dan 150 procent gezien in het aantal aanvallen ten opzichte van het eerste kwartaal. Vooral particuliere gebruikers waren het afgelopen half jaar het doelwit van cybercriminelen. Bedrijven liggen volgens de analyse ook nog steeds onder vuur. De cybersecurity specialisten van G DATA registreerden 136,3 procent meer pogingen van aanvallen gericht op bedrijfsnetwerken.

De malware top 10 wordt gedomineerd door Remote Access Trojans (RAT). Zeven van de tien families zijn RAT's en maken het mogelijk om een buitenlandse computer op afstand te bedienen en te beheren zonder dat de gebruiker daar iets van merkt. Op deze manier kunnen cybercriminelen wachtwoorden stelen, vertrouwelijke gegevens uitlezen, data verwijderen van de harde schijf of bestanden versleutelen. De hoeveelheid samples van de trojaan njRAT / Bladabindi is het afgelopen half jaar ook toegenomen Het afgelopen half jaar werden evenveel nieuwe samples geïdentificeerd als in heel 2019.

De malware top 10

Plaats Naam Aantal Soort
1 Trickbot 40265 Malware Distributor
2 njRAT/Bladabindi 39521 Remote Access Trojaan
3 QBot/Qakbot 29677 Remote Access Trojaan
4 Emotet 27804 Malware Distributor
5 RemcosRAT 24845 Remote Access Trojaan
6 SakulaRAT 23158 Remote Access Trojaan
7 BlackShades 21241 Remote Access Trojaan
8 Tinba 20881 Banking-Trojaan
9 AgentTesla 19060 Information-Stealer
10 AMRat 17149 Remote Access Trojaan

Qbot neemt het gedrag van emotet over

Een nieuwkomer op de ranglijst is Qbot. Op dit moment gebruikt deze RAT een aanvalspatroon dat voorheen alleen bekend was bij Emotet malware. Qbot voegt kwaadaardige links toe aan een bestaand mailbericht, zodat de ontvanger de authenticiteit van het bericht vertrouwt en op de link in de mail klikt. Deze link leidt naar een gehackte website van waaruit verdere malware wordt geüpload in het bedrijfsnetwerk. Qbot is sinds 2007 bekend en is inmiddels een universeel wapen voor cybercriminelen geworden. De oorspronkelijke bancaire Trojaan heeft extra wormelementen en is actief als credential stealer. Aanvallers gebruiken het om toegangsgegevens te kopiëren en te misbruiken.

Coinminer vertraagd computers

In de eerste helft van het jaar heeft G DATA ook hoge activiteiten op het gebied van de coinminer malware geregistreerd. Cybercriminelen gebruiken de rekenkracht van besmette computers om crypto's te genereren zoals Bitcoin, Monero en Ethereum. Er werden meer dan 107.000 samples van verschillende coinminer families geïdentificeerd. Dit is gemiddeld één sample per 2,4 minuten. Coinmining is geen nieuwe cyberdreiging maar al enkele jaren bekend. Terwijl cybercriminelen er geld mee verdienen, moeten gebruikers de elektriciteitskosten betalen en een computer met beperkte prestaties gebruiken. Door coinmining ondervinden slachtoffers trage reactietijden, ongewone netwerkactiviteit, crashes en frequente verzoeken om de computer op te starten. Cybercriminelen gebruiken verschillende methoden om te infiltreren in bedrijfsnetwerken en privécomputers en misbruiken deze voor hun eigen doeleinden. Ze nemen vaak de weg van de minste weerstand en maken gebruik van gaten in besturingssystemen of toepassingen.

Eddy Willems

Cybercriminelen profiteren van de Coronacrisis en hebben ze sinds het uitbreken van de pandemie aanzienlijk meer aanvalspogingen ondernomen. Dit komt vooral door de toename van het internetgebruik. Hoewel veel medewerkers inmiddels zijn teruggekeerd naar kantoor, brengen mensen in hun privéleven veel meer tijd door achter de computer om bijvoorbeeld online te winkelen of eten te bestellen. Dit kan een reden zijn voor de explosieve aanvallen op particuliere gebruikers. Mensen blijven een poort voor aanvallen wanneer ze klikken op links in phishing mails of bijlages openen met kwaadaardige codes. Naast een moderne endpoint beveiliging is het belangrijk dat organisaties ook actie ondernemen om medewerkers te trainen. Op deze manier kunnen medewerkers gevaren herkennen en pogingen tot phishing onmiddellijk melden.

Eddy Willems

Cybersecurity Evangelist bij G DATA CyberDefense

Media:

Nieuws uit 02. oktober 2020

Contact

G DATA België
Dirk Cools
Country Manager

‘t Hofveld 6 B4
1702 Groot-Bijgaarden
België

E-mail: dirk.cools@remove-this.gdata.be

 

G DATA Nederland
Jerrel Abdoel
Country Manager

Sloterweg 303a 
1171 VC Badhoevedorp
The Netherlands

E-Mail: jerrel.abdoel@remove-this.gdata.nl