Artikel top billede

(Foto: Computerworld)

Fordobling i antallet af ransomware-angreb

Check Point’s rapport over cybertrusler for andet halvår af 2016 viser de vigtigste trends indenfor netværk og mobil malware.

Af Rasmus Elm Rasmussen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Check Point Software Technologies offentliggør i dag deres Global Threat Intelligence Trends rapport for andet halvår af 2016 (H2), der afslører, at angreb med ransomware er fordoblet. Ud af alle registrerede malware-angreb globalt i perioden fra juli til december 2016 steg mængden af ransomware fra 5,5% til 10,5%.

Rapporten for andet halvår fremhæver de vigtigste taktikker og metoder, som de IT-kriminelle bruger til at angribe virksomheder og organisationer og giver en detaljeret oversigt over trusselslandskabet i de vigtigste malwarekategorier, som er ransomware, banking og mobil.
Rapporten er baseret på data fra Check Point’s ThreatCloud World Cyber Threat Map i perioden juli til december 2016.

Vigtigste trends

• Monopol på ransomware markedet – tusindvis af nye ransomware varianter blev observeret i 2016. I de seneste måneder har vi været vidne til en ændring i ransomware-landskabet, som blev mere centraliseret omkring et par større malware-familier, der dominerer markedet og rammer organisationer af alle størrelser.

• DDoS angreb gennem IoT-enheder – I august 2016 blev det første Internet of Things (IoT) botnet opdaget – det i dag berygtede Mirai Botnet. Mirai angriber især sårbare videooptagere og overvågningskameraer, som er forbundet til internettet og laver dem om til bots, som de IT-kriminelle kan bruge til at foretage adskillelige trafiktunge Distributed Denial of Service (DDoS) angreb, der overbelaster virksomheder og internetudbyderes servere. I dag står det helt klart, at der findes sårbare IoT-enheder i stort set alle hjem, og at de massive DDoS angreb baseret på disse vil fortsætte.

• Nye filtyper brugt i spam-kampagner – Den hyppigste angrebsvektor brugt til at brugt inficere virksomheder med ondsindet spam i andet halvår af 2016, var downloaders baseret på Windows Script engine (WScript). Downloaders skrevet i JavaScript (JS) og VBScript (VBS) dominerede mal-spam distributionen sammen med mindre kendte formater som JSE, WSF, VBE.

Jan Johannsen, sikkerhedschef hos Check Point Danmark kommenterer på tallene: “Rapporten giver et billede af nutidens IT-kriminalitet, hvor angreb med ransomware er stigende. Det skyldes den simple årsag, at ransomware virker og genererer betydelige indtægter til bagmændene. Samtidig har flere organisationer store problemer med effektivt at dæmme op for truslen, da de ikke har det nødvendige forsvar på plads eller har lært deres medarbejdere at genkende tegn på potentiel malware i modtagne mails.”

"Derudover viser vores data, at et meget lille antal af malware-typerne står for hovedparten af alle angreb, mens tusindvis af andre malware-varianter meget sjældent ses. De fleste trusler er globale og går på tværs af regioner. Dog er særligt APAC-regionen ramt af malware-varianter, som ikke fremgår i de øvrige lande.”

Top malware i 2. halvår 2016:

1. Conficker (14.5%) – En orm, der tillader eksterne operationer og malware-download. Maskiner som rammes af Conflicker, bliver styret af et botnet, der kontakter Command & Control serveren for instruktioner.
2. Sality (6.1%) – Denne virus gør det muligt at oprette en fjernforbindelse og derved downloade yderligere malware til det allerede inficerede system.
3. Cutwail (4.6%) – Botnet, der sender spam-mails og foretager enkelte DDoS angreb. Når Cutwail er installeret, tilslutter den direkte til en command and control server med instruktioner om hvilke e-mails, den skal sende. Efter den har udført sit arbejde, rapportere Cutvail tilbage til bagmændene med præcise statistikker omkring sine resultater.
4. JBossjmx (4.5%) – En orm, som angriber systemer med en sårbar version af JBoss Application Server installeret. Denne malware skaber en JSP side på sårbare systemer, som udfører kommandoer fra en ekstern IRC-server.
5. Locky (4.3%) – Denne type af Ransomware, blev opdaget i februar 2016. Den bliver spredt hovedsageligt via spam e-mails, der indeholder en downloader forklædt som en Word eller Zip-fil, som henter og installerer malware, der krypterer brugernes filer.

Top ransomware andet halvår 2016:

I perioden juli til december 2016 steg procentdelen af ransomware-angreb fra 5,5% til 10,5%. I nedenstående er de ransomware-varianter listet, som foretog flest angreb:

1. Locky 41% - I første halvår 2016 var det kun den tredje mest almindelige ransomware-variant, men der skete en voldsom stigning i angreb med Locky i andet halvår.
2. Cryptowall 27% - Denne ransomware startede som en Cryptolocker dobbeltgænger, men endte med at overgå den. I dag er Cryptowall en af de mest markante ransomwares til dato, der er kendt for sin brug af AES-kryptering og for at foretage sine command and control-instruktioner over det anonyme TOR-netværk. Den spredes bredt via exploit kits, maltervising og phising kampagner.
3. Cerber 23% - Cerber er verdens største ransomware-as-a-service. Cerber er baseret på en franchiseordning, hvor udviklerne rekrutterer personer, der spreder malwaren mod en del af overskuddet.

Top Mobil Malware andet halvår 2016:

1. Hummingbad 60% - Denne androidbaserede malware, der først blev opdaget af Check Point’s research team, etablerer et rootkit og installerer falske applikationer på enheden. Med få yderligere modifikationer giver det hackerne mulighed for at foretage flere ondsindede aktiviteter, såsom key-logging, tyveri af personfølsomme data og muligheden for at gå uden om de krypterede containere, der anvendes af virksomheder.
2. Triada 9% - En moduler backdoor til Android, som giver superbruger privilegier til downloadet malware og hjælper det med at blive indlejret i systemet.
3. Ztorg 7% – Trojansk hest, der bruger root privilegier til at downloade og installere programmer på enheden uden brugerens viden.

Top banking malware andet halvår 2016:

1. Zeus 33% - Trojansk hest, der er rettet mod Windows-platforme og ofte bruges til at stjæle bankoplysninger med keystroke logging.
2. Tinba 21% - Trojansk hest, der stjæler personers personfølsomme data. Denne malware aktiveres når brugerne forsøger at logge ind på deres bank.
3. Ramnit 16% – Trojansk hest der stjæler bank legitimationsoplysninger, FTP passwords, session cookies og persondata.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere