Cyberaanvallers richten zich op gezondheidszorg en op Facebook-gebruikers
29 september 2017 -
Wereldwijd is de gezondheidszorg steeds vaker het doelwit van cyberaanvallen. In het tweede kwartaal van dit jaar meldde deze sector voor het eerst meer incidenten dan de publieke sector.
Dit is een van de conclusies in het nieuwe McAfee Labs Threats Report: September 2017. Het rapport onderzoekt verder de groei van op scripts gebaseerde malware en biedt een analyse van de recente WannaCry en NotPetya ransomware aanvallen.
Facebookaanvallen
In het tweede kwartaal is Facebook uitgegroeid tot een belangrijk aanvalskanaal. De Faceliker trojan was verantwoordelijk voor een belangrijk deel (8,9 procent) van de in totaal 52 miljoen nieuwe malware die in Q2 door McAfee Labs werd waargenomen. Deze trojan infecteert de browser wanneer een gebruiker een besmette website bezoekt. Vervolgens worden de Facebook ‘Likes’ van deze gebruiker gekaapt om content te promoten de gebruiker zich daarvan bewust is. Door dit op grote schaal te doen kunnen de criminelen achter Faceliker veel geld verdienen, omdat de zo gekaapte kliks op advertenties ervoor kunnen zorgen dat een nieuwsartikel, video of website populairder of betrouwbaarder lijkt dan deze daadwerkelijk is.
"Faceliker maakt misbruik van de sociale media en apps die we dagelijks gebruiken om te communiceren," zegt Vincent Weafer, vice president McAfee Labs. "Door apps of nieuwsartikelen populairder en betrouwbaarder te laten lijken dan ze daadwerkelijk zijn, kunnen de mensen achter Faceliker – zonder dat we het doorhebben – beïnvloeden welke nieuwsberichten we als ‘waarheid’ beschouwen. Zo lang er met dit soort activiteiten geld valt te behalen, kunnen we meer van dit soort pogingen verwachten."
Publieke sector Noord Amerika
Uit een analyse door McAfee Labs van gemelde beveiligingsincidenten blijkt dat de publieke sector in Noord Amerika de afgelopen zes maanden het meest is aangevallen. Maar in Q2 is die sector ingehaald door de gezondheidszorg, met ruim een kwart (26 procent) van het totale aantal gemelde incidenten. Hoewel de meeste beveiligingsincidenten in de gezondheidszorg hoogstwaarschijnlijk het gevolg zijn van menselijke fouten, blijft het aantal cyberaanvallen op deze sector toenemen. Deze trend werd in Q3 2016 ingezet, toen tal van ziekenhuizen over de hele wereld te maken kregen met aanhoudende ransomware aanvallen. Verschillende ziekenhuisafdelingen werden volledig lamgelegd en in een aantal gevallen moesten ziekenhuizen patiënten verhuizen en operaties uitstellen.
Opkomst van op scripts gebaseerde malware
Onderzoekers van McAfee beschrijven in het rapport ook de duidelijke toename in malware gebaseerd op scripts, in de afgelopen twee jaar. Microsofts PowerShell scripttaal wordt gebruikt om allerlei administratieve taken te automatiseren, zoals het op de achtergrond uitvoeren van opdrachten, controle van services die op een systeem draaien, het beëindigen van processen en het configureren van systemen en servers. Kwalijke PowerShell scripts komen vaak binnen via spam e-mails, waarbij eerder gebruik wordt gemaakt van social engineering dan van softwarekwetsbaarheden. Vervolgens worden de mogelijkheden van de scripttaal ingezet om toegang te krijgen tot een systeem.
De trend rond op scripts gebaseerde malware betreft ook de inzet van andere scripttalen, zoals JavaScript en VBScript. Ook andere veel gebruikte bestandstypen zoals .doc, PDF, .xls, HTML en andere bekende computerstandaards worden steeds vaker ingezet om malware te verspreiden.
Nadere analyse WannaCry en NotPetya
McAfee heeft de WannaCry en NotPetya aanvallen, eerder dit jaar, nader geanalyseerd. Het rapport laat zien hoe de aanvallers relatief eenvoudige methoden op creatieve wijze combineerden. Daarbij ging het om misbruik van een beveiligingslek, bekende ransomware en wormtechnieken om de aanval te verspreiden. Daarbij valt op dat bij beide aanvallen betalings- en decryptietechnieken ontbraken die nodig zijn het losgeld van slachtoffers te innen en om systemen weer te ontsluiten.
"Er wordt wel beweerd dat deze ransomware campagnes niet succesvol waren, vanwege het relatief lage bedrag dat de cybercriminelen er aan verdienden," zegt Raj Samani Chief Scientist bij McAfee. "Het is echter aannemelijk dat het bij WannaCry en NotPetya niet zozeer ging om financieel gewin, maar om iets anders. Als het disruptie het motief was, dan waren beide campagnes zeer effectief. We leven nu blijkbaar in een wereld waarin er nog andere motieven dan geld zitten achter ransomware. Welkom in de wereld van pseudo-ransomware."
Trends tweede kwartaal 2017
Naast bovengenoemde cijfers en dreigingen registreerde het McAfee Labs Global Threat Intelligence netwerk wereldwijd nog het volgende:
Ransomware - in Q2 is het aantal nieuwe ransomware varianten opnieuw sterk toegenomen, met 54 procent. De afgelopen vier kwartalen is het totale aantal ransomware varianten met 47 procent gegroeid, tot 10,7 miljoen varianten.
Mobiele malware - De afgelopen vier kwartalen is de hoeveelheid mobiele malware toegenomen met 61 procent, tot 18,4 miljoen varianten. In Q2 werden wereldwijd acht procent meer mobiele toestellen besmet dan in het voorgaande kwartaal. Vooral in Azië werden veel meer (achttien procent) mobiele toestellen besmet.
Macro malware – in Q2 is de hoeveelheid nieuwe macro malware met 35 procent gegroeid. Er werden 91.000 nieuwe varianten waargenomen, waarmee het totaal komt om 1,1 miljoen.
Totale hoeveelheid malware – in Q2 zijn er maar liefst 67 procent meer nieuwe malware varianten gedetecteerd. Deze toename is voor een deel toe te schrijven aan de sterke toename van malware installers en de Faceliker trojan. De afgelopen vier kwartalen is het totale aantal malware varianten met 23 procent gegroeid, tot 723 miljoen.
Regionale verschillen in getroffen sectoren - wereldwijd waren de gezondheidszorg, de publieke sector en het onderwijs goed voor ruim de helft van alle gemelde beveiligingsincidenten.
EMEA (Europa, het Midden Oosten en Afrika) - In deze regio meldde de publieke sector veruit de meeste beveiligingsincidenten in Q2, gevolgd door de entertainmentsector, de gezondheidszorg, de financiële sector en de technologiesector.
Noord Amerika – in Noord Amerika zag de gezondheidszorg in Q2 de meeste incidenten.
Azië – In Azië rapporteerde de publieke sector de meeste incidenten in Q2, gevolgd door de financiële sector en de technologiesector.