Sophos: “Geen enkel platform immuun voor ransomware”

21-11-2017 - Oosterhout

Sophos bericht in het SophosLabs 2018 Malware Forecast-rapport uitgebreid over ransomware en andere cyberbeveiligingstrends die van 1 april tot 3 oktober op Sophos-klantcomputers zijn verzameld. Een belangrijke bevinding geeft aan dat ransomware overwegend Windows-systemen heeft aangevallen in de afgelopen zes maanden maar dat Android-, Linux- en MacOS-platforms niet immuun zijn.

 

“Ransomware is platformonafhankelijk en richt zich voornamelijk op Windows-computers, maar dit jaar zag SophosLabs een toenemend aantal crypto-aanvallen op verschillende apparaten en besturingssystemen die wereldwijd door onze klanten worden gebruikt, “zegt Dorka Palotay, SophosLabs-securityresearcher en medewerker aan de ransomware-analyse in de SophosLabs 2018 Malware prognose.

Het rapport volgt ook de groeipatronen van ransomware, wat aangeeft dat WannaCry, dat in mei 2017 van zich liet spreken, de #1 ransomware was die werd onderschept door klantcomputers en hiermee Cerber van de troon stootte die begin 2016 verscheen. WannaCry was goed voor 45,3 procent van alle ransomware die via SophosLabs werd opgespoord; Cerber neemt 44,2 procent voor van de ransomware voor zijn rekening.

“Voor de eerste keer zagen we ransomware met wormachtige kenmerken die hebben bijgedragen aan de snelle uitbraak van WannaCry. Deze ransomware maakte gebruik van een bekende Windows-kwetsbaarheid en kon zich zo via computers verspreiden, waardoor het moeilijk te controleren was,” zegt Palotay. “Hoewel onze klanten ertegen worden beschermd en WannaCry inmiddels is afgenomen, zien we de dreiging nog steeds vanwege de aard van ransomware om computers te blijven scannen en aan te vallen. We verwachten dat cybercriminelen zullen voortbouwen op het gedachtengoed van WannaCry en NotPetya. Dit is al duidelijk bij de Bad Rabbit-ransomwarevariant die veel overeenkomsten vertoont met NotPetya.”

The SophosLabs 2018 Malware Forecast rapporteert over de opkomst en ondergang van NotPetya, de ransomwarevariant die in juni 2017 ravage veroorzaakte. NotPetya werd oorspronkelijk gedistribueerd via een Oekraïens boekhoudsoftwarepakket, waardoor de geografische impact beperkt bleef. Het was in staat om zich, net als WannaCry, via EternalBlue te verspreiden. Maar omdat WannaCry reeds de meest blootgestelde machines had geïnfecteerd, waren er nog maar weinigen die kwetsbaar waren. Het motief achter NotPetya is nog steeds onduidelijk omdat er veel misstappen en fouten met deze aanval te paard gingen.

“NotPetya verraste enorm en richtte bij bedrijven veel ellende aan omdat het permanent gegevens op getroffen computers heeft vernietigd. Gelukkig stopte NotPetya bijna net zo snel als het begon. We vermoeden dat de cybercriminelen aan het experimenteren waren of dat hun doel niet ransomware was, maar iets destructiever als het wissen van data. Ongeacht de intentie raadt Sophos ten zeerste af om voor ransomware te betalen en beveelt best practices in plaats daarvan: denk daarbij aan het maken van back-ups en het up-to-date houden van patches.”

Cerber, verkocht op het Dark Web, blijft een gevaarlijke bedreiging. De Cerber-makers werken de code voortdurend bij en waarbij ze een percentage vragen van het losgeld dat de middle men van slachtoffers ontvangen. Nieuwe features maken Cerber niet alleen een effectief aanvalsinstrument, maar ook beschikbaar voor cybercriminelen. “Dit Dark Web-bedrijfsmodel werkt helaas en zorgt voor een continue ontwikkeling van Cerber. We kunnen aannemen dat de winst de auteurs motiveert om de code te handhaven”, vult Palotay aan.

Android-ransomware trekt ook cybercriminelen aan. Volgens de analyse van SophosLabs is het aantal aanvallen op Sophos-gebruikers die Android-apparaten gebruiken in 2017 bijna elke maand toegenomen.

“In september alleen al was 30,4 procent van de schadelijke Android-malware die door SophosLabs werd verwerkt ransomware. We verwachten dat dit in oktober naar ongeveer 45 procent zal stijgen”, zegt Rowland Yu, van SophosLabs. “Een van de redenen waarom we geloven dat ransomware op Android van de grond komt, is omdat cybercriminelen gemakkelijk geld kunnen verdienen in plaats van contacten en sms-berichten te stelen, pop-upadvertenties of phishing van banken die geavanceerde hacktechnieken vereisen. Het is belangrijk op te merken dat Android ransomware voornamelijk wordt ontdekt in niet-Google Play-markten. Dit is een andere reden voor gebruikers om zeer voorzichtig te zijn over welke apps ze downloaden.”

Het SophosLabs-rapport geeft verder aan dat er twee soorten Android-aanvalsmethoden zijn ontstaan: het vergrendelen van de telefoon zonder gegevens te versleutelen en de telefoon vergrendelen terwijl de gegevens worden versleuteld. De meeste ransomware op Android versleutelt gebruikersgegevens niet, maar schermvergrendeling in ruil voor geld is genoeg om nietsvermoedenden te frusteren. “Sophos raadt aan regelmatig een back-up van je telefoon te maken om zo gegevens te bewaren en te voorkomen dat je losgeld moet betalen. We verwachten dat ransomware voor Android het komende jaar zal blijven toenemen en domineren als het voornaamste type malware op dit mobiele platform”, sluit Yu af.

Voor toegang tot het volledige rapport: ga naar SophosLabs 2018 Malware Forecast.

Bekijk andere publicaties