Trends in 2010; via e-mail verspreide malware neemt enorm toe.

  • Bron (c) 2010, VirusAlert

Messagelabs, onderdeel van Symantec, heeft het jaarlijkse Intelligence veiligheidsrapport uitgebracht.

Een van de opmerkelijke bevindingen van het rapport is dat de hoeveelheid spam het hele jaar sterk schommelde door wijzigingen in de activiteiten van de botnets.

Het aantal spamberichten bereikte in augustus 2010 een piek met 92,2% toen de Rustock-botnet agressief nieuwe malwarevarianten uitstuurde die snel in actie kwamen. Dit leidde tot een toename van het spamniveau over het hele jaar.
Het bedroeg gemiddeld 89,1% of 1,4% meer dan in 2009. Spam afkomstig van botnets was tijdens het grootste gedeelte van 2010 goed voor 88,2% van alle spamberichten. Tegen het einde van 2010 daalde het aandeel van de botnets (tot 77% van de totale hoeveelheid spam). Dit was toe te schrijven aan het sluiten van het spamfiliaal Spamit, begin oktober 2010. Tegen eind 2010 was het totaal aantal actieve bots al opnieuw oegenomen tot ruwweg het niveau van eind 2009. Dit kwam overeen met een stijging met ongeveer 6% in de tweede helft van 2010. Het totaal aantal botnets wereldwijd bedraagt 3,5 tot 5,4 miljoen.

Men verwacht dat de botnetbeheerders in 2011 steganografische technieken zullen gebruiken om hun computers te beheren. Dit betekent dat zij hun commando’s verbergen, misschien in beelden of muziekbestanden die vervolgens door filesharing of via websites van sociale netwerken worden verspreid. Met deze aanpak slagen de criminelen erin om ongemerkt instructies aan hun botnets te geven. Zij zijn dan niet meer afhankelijk van een ISP om hun infrastructuur te hosten, zodat er minder kans is dat ze ontdekt worden.

Hoewel het aantal botnets en hun bijbehorende output in 2010 schommelden, bleef de top drie van de botnets in de tweede helft van 2010 ongewijzigd. Rustock blijft het dominerende botnet. Het verdubbelde zijn spamproductie sinds vorig jaar tot meer dan 44 miljard spamberichten per dag en meer dan een miljoen gecontroleerde bots. Grum en Cutwail komen respectievelijk op de tweede en de derde plaats. Deze twee botnets waren ook verantwoordelijk voor een toename van het volume aan malware dat via spam van botnets wordt verspreid. “De botnets die de vorige jaren werden opgezet, bleven weliswaar ook in 2010 succesvol en veerkrachtig, maar de cybercriminelen experimenteerden ook met allerlei tactieken om hun spamcampagnes actief en fris te houden,” aldus Paul Wood, Senior Analyst van MessageLabs Intelligence, Symantec Hosted Services. “De spammers hanteerden allerlei trucs om spamfilters te omzeilen en potentiële slachtoffers te belagen. Zij kaapten gebeurtenissen met grote nieuwswaarde zoals de FIFA-wereldbeker of maakten misbruik van de grote populariteit van verkorte URL’s en sociale netwerken.”
Een van de bedreigingen met de grootste impact van het jaar was het “Here You Have”-virus dat op 9 september 2010 oude technieken voor massamailings gebruikte om kwaadwillige e-mails te versturen.
Op het piekmoment werden tot 2.000 e-mails per minuut geblokkeerd. De MessageLabs AntiVirusdienst blokkeerde meer dan 100.000 exemplaren van het virus vóór ze de netwerken van de klanten konden bereiken. De heuristische regel die tot de detectie van het virus leidde, was in mei 2008 toegevoegd, dus meer dan twee jaar eerder. Dezelfde regel bleek ook cruciaal om begin november een reeks aanvallen op de Amerikaanse belastingdiensten af te wenden.
In 2010 zaten er meer dan 339.600 verschillende malwarecodes in de geblokkeerde kwaadwillige emails.

In vergelijking met 2009 zijn dit er honderd keer meer. Deze massale toename is vooral toe te
schrijven aan de groei in polymorfe malwarevarianten. Deze zijn op hun beurt te wijten aan de toolkits waarmee snel en gemakkelijk nieuwe versies van de criminele code kunnen worden ontwikkeld. Een voorbeeld hiervan is de reeks Bredolab-trojans, een niet-gespecialiseerd botnet dat meestal via Cutwail actief is en dat in 2010 goed was voor ongeveer 7,4% van alle malware die via e-mails verspreid wordt. Bredolab behoort tot een tactiek die “pay per install” (PPI) of “vergoeding per installatie” wordt genoemd. Hoewel de malware flexibel van aard is, werd hij ontworpen om de controle over de computer van het slachtoffer over te nemen, zodat de Bredolab-beheerders de computer voor eigen doeleinden kunnen gebruiken of verhuren of verkopen aan andere criminelen. Bredolab is een voorbeeld van malware dat in een gecomprimeerd archief zit verborgen. In de loop der maanden is het geëvolueerd van een eenvoudig stukje geëncrypteerde malware met polymorfe code tot een beschermde versie met een geactualiseerde polymorfe engine die zich op dezelfde manier gedraagt, maar elke identificatie als Bredolab ontloopt. De uiteindelijke versie is een agressieve polymorfe packer die eind 2010 in honderden varianten via massamailings werd uitgestuurd om zoveel mogelijk computers te infecteren.

Terwijl Bredolab op grote schaal werd verspreid, steeg ook het aantal gerichte aanvallen die typisch in een kleine oplage worden gedistribueerd. Toen vijf jaar geleden voor het eerst gerichte aanvallen of geavanceerde persistente aanvallen opdoken, spoorde MessageLabs Intelligence er één of twee per week op. Het daaropvolgende jaar waren er al één of twee per dag. Ten slotte steeg het aantal gerichte aanvallen van 10 per dag tot ongeveer 60 per dag in 2010 en tegen het einde van het jaar blokkeerde MessageLabs Intelligence er 77 per dag.
“De stijging van gerichte aanvallen loopt parallel met variaties in de uitvoering en een grotere
complexiteit in de aanvallen zelf,” verklaarde Paul Wood. “Elke maand worden dergelijke aanvallen gemiddeld op 200 tot 300 organisaties gericht, telkens in andere sectoren. Meestal zijn hoge functionarissen het doelwit, maar vaak gebruikt men een algemene mailbox of de mailbox van een assistent om ze te bereiken. Vijf jaar geleden ging het nog om grote en bekende organisaties, maar tegenwoordig is de doelgroep veel breder en is geen enkele organisaties nog veilig voor een dergelijke aanval.”
MessageLabs Intelligence onderzocht ten slotte ook het webgebruik van medewerkers die steeds meer op andere plaatsen dan het traditionele kantoor werken. Zij bevinden zich steeds vaker onderweg of thuis wanneer ze op het web gaan. Het onderzoek toonde aan dat mobiele gebruikers zich vrijwel op dezelfde manier gedragen als hun collega’s op kantoor en dat zij daardoor weinig extra gevaren voor hun organisatie opleveren. Maar werknemers die op diverse plaatsen werken, zowel op kantoor als elders, blijken bij het browsen veel minder voorzorgen te nemen wanneer ze niet op kantoor zijn, waardoor het risico voor hun organisatie toeneemt. Op basis van deze resultaten dienen organisaties te bepalen in welke mate zij het onlinegedrag van hun medewerkers met regels willen sturen.Bedrijven erkennen de behoefte aan een flexibele toegang tot het web en kiezen daarom in 2010 steeds meer voor een ad-hocbenadering van de toegangscontrole. Zij gebruiken nu liever lijsten van toegelaten websites in plaats van de lijsten met geblokkeerde sites van de vorige jaren. Het aantal bedrijven met een beleid voor toegang tot het web is in 2010 met gemiddeld 0,8% per maand gestegen, in vergelijking met 0,6% per maand in 2009.

Belangrijkste trends in 2010
Veiligheid op het web: Het gemiddelde aantal nieuwe schadelijke websites dat elke dag werd
geblokkeerd steeg tot 3.066, tegenover 2.465 in 2009. Dit is een toename met 24,3%. MessageLabs Intelligence identificeerde schadelijke webbedreigingen op 42.926 verschillende domeinen die in meerderheid gekaapte legitieme domeinen waren.

* Spam: In 2010 bedroeg het jaarlijkse gemiddelde spampercentage 89,1%, een toename met 1,4% in vergelijking met 2009. In augustus bereikte het totale spamniveau een piek op 92,2%. Het aandeel van de spam afkomstig van botnets was gestegen tot 95% toen in die periode een nieuwe variant van het Rustock-botnet op zeer korte tijd in gebruik werd genomen.

* Virussen: Het gemiddelde aantal e-mails met een virus in het totale e-mailverkeer bedroeg in 2010 1 op 284,2 e-mails (0,352%), vrijwel hetzelfde niveau als in 2009: 1 op 286,4 (0,349%). In 2010 blokkeerde Skeptic™ meer dan 115,6 miljoen e-mails, dit is 58,1% meer dan in 2009. In de geblokkeerde schadelijke e-mails werden 339.673 malwarevarianten aangetroffen. In vergelijking met 2009 zijn het er ruim honderd keer meer. De oorzaak hiervan is de groei in polymorfe malwarevarianten.

* Phishing: In 2010 werd gemiddeld 1 op 444,5 e-mails geblokkeerd als phising-aanval (0,23%). In 2009 bedroeg deze verhouding 1 op 325,2 e-mails.