McAfee ontmaskert cybercriminele marktplaatsen

Cybersecuritybedrijf McAfee heeft het McAfee Labs Threats Report: December 2018 gepubliceerd. Daarin worden de activiteiten in de cybercriminele onderwereld en de ontwikkeling van cyberbedreigingen in het derde kwartaal van 2018 onderzocht. McAfee Labs ontdekte gemiddeld 480 nieuwe bedreigingen per minuut en een flinke toename van malware voor IoT-apparaten. De gevolgen van de ontmanteling van de darkweb-marktplaatsen Hansa en AlphaBay in 2017 blijven voelbaar, want ondernemende cybercriminelen namen nieuwe maatregelen om de wet te ontlopen.

"Cybercriminelen misbruiken zowel oude als nieuwe kwetsbaarheden, en het aantal services dat te krijgen is op criminele marktplaatsen heeft de effectiviteit daarvan aanzienlijk vergroot", zegt Christiaan Beek, hoofdonderzoeker bij McAfee. "Zolang er losgeld wordt betaald en relatief eenvoudige aanvallen zoals phishing hun doel bereiken, zullen criminelen deze methoden blijven toepassen. Alleen door op de hoogte te blijven van nieuwe trends in de criminele marktplaatsen en geheime forums is een goede verdediging tegen bestaande aanvallen mogelijk. Bovendien kan de cybersecurity-community zich daarmee wapenen tegen nieuwe, toekomstige bedreigingen."

McAfee onderzoekt en analyseert ieder kwartaal de stand van zaken op het gebied van cyberbedreigingen. Daarbij wordt onder andere gebruik gemaakt van de gegevens die worden verzameld via de McAfee Global Threat Intelligence-cloud, afkomstig van honderden miljoenen sensors wereldwijd.

Trends op criminele online marktplaatsen en verborgen forums

In het derde kwartaal van 2018 vochten vooral de online marktplaatsen Dream, Wall Street en Olympus om marktaandeel, totdat Olympus op mysterieuze wijze verdween. In een poging de wetshandhavers te ontlopen en meer vertrouwen op te bouwen bij hun klanten, zijn sommige cybercriminelen afgestapt van het gebruik van de grotere online marktplaatsen. Zij hebben hun eigen, gespecialiseerde illegale winkels geopend. Dat levert nieuw werk op voor websiteontwikkelaars die verborgen webwinkels bouwen voor nieuwe criminele ondernemers.

"Cybercriminelen zijn van nature opportunistisch", zegt John Fokker, die geeft leiding aan het onderzoek naar cybercriminaliteit bij McAfee. "De bedreigingen waar we nu mee te maken krijgen, zijn ooit begonnen als gespreksonderwerp op een geheim forum. Sindsdien zijn ze uitgegroeid tot producten en services die je ergens online kunt kopen. We zien daar zelfs sterke merken opkomen die criminelen veel kunnen bieden: een hoge infectiegraad en operationele en financiële zekerheid."

Op geheime hackersforums kunnen cybercriminelen hun activiteiten met anderen bespreken. In het derde kwartaal van dit jaar waren de onderzoekers van McAfee getuige van gesprekken over de volgende onderwerpen:

• Succesvolle aanvallen stimuleren de groei van datamarkten en kopieergedrag
  • Gebruikersgegevens: Als gevolg van vele succesvolle datalekken blijven gebruikersgegevens een populair onderwerp. Vooral gehackte e-mailaccounts zijn interessant voor cybercriminelen, omdat die worden gebruikt om inloggegevens voor andere online services te herstellen.
  • Malware voor webwinkels: De criminelen hebben hun aandacht verlegd van point-of-sale systemen naar de betaalplatforms van bekende webwinkels. Daarmee hebben groepen zoals Magecart de gegevens van duizenden creditcards gestolen van getroffen websites. Als gevolg groeit de vraag naar creditcardgegevens en de middelen waarmee ze kunnen worden gestolen. Cybercriminelen reageren bovendien op de nieuwe beveiligingsmaatregelen die door bedrijven worden genomen. Wanneer bijvoorbeeld steeds meer organisaties IP-adressen gebruiken om de locatie van gebruikers te controleren, stijgt de vraag naar geïnfecteerde computers uit hetzelfde postcodegebied als de gestolen creditcardgegevens.

• Veelgebruikte toegangs- en aanvalsmethoden blijven populair
  • Common Vulnerabilities and Exposures (CVE): Bekende kwetsbaarheden kwamen regelmatig ter sprake in gesprekken over GandCrab-ransomware en exploit kits voor browsers zoals RIG, Grandsoft en Fallout. De populariteit van deze onderwerpen toont aan hoe belangrijk het is dat bedrijven hun kwetsbaarheden goed in kaart brengen.
  • Remote Desktop Protocol (RDP): Er zijn winkels die logins aanbieden voor computers over de hele wereld, uiteenlopend van particuliere pc's tot medische apparatuur en overheidssystemen. Ook dit was een populair onderwerp in het derde kwartaal. Dergelijke criminele winkels zijn een one-stop-shop voor criminelen die fraude willen plegen. Ze verkopen niet alleen toegang tot computers, maar ook burgerservicenummers, bankgegevens en inloggegevens voor online accounts.
  • Ransomware-as-a-Service (RaaS): De toename van 45% van de hoeveelheid ransomware in de afgelopen vier kwartalen toont wel aan hoe populair dit nog steeds is. Op de geheime forums is er dan ook veel interesse in RaaS-productfamilies zoals GandCrab. Het aantal unieke ransomware-families is gedaald sinds het eind 2017. Dit is het gevolg van de intensievere samenwerking van een aantal criminele services, zoals het partnership van GandCrab-ransomware en de encryptieservice NTCrypt. Door dergelijke partnerships en samenwerkingsverbanden zijn de services voor klanten verbeterd en is de infectiegraad gestegen.

Bedreigingen in het derde kwartaal van 2018

Cryptomining en IoT. IoT-apparaten zoals camera's en videorecorders worden meestal niet gebruikt voor cryptomining, omdat ze lang niet zo krachtig zijn als desktops of laptops. Maar als gevolg van het toenemende aantal IoT-apparaten en de slechte beveiliging daarvan zijn ze toch interessant voor cybercriminelen. Door duizenden van dergelijke apparaten aan elkaar te koppelen, ontstaat een soort supercomputer die misbruikt wordt voor cryptomining. De hoeveelheid nieuwe malware speciaal gericht op IoT-apparaten steeg dan ook met 72%. De totale hoeveelheid IoT-malware steeg het afgelopen jaar met 203%. De hoeveelheid nieuwe coinmining-malware steeg met 55%. De totale hoeveelheid coinmining-malware steeg het afgelopen jaar met 4.467%.

Fileless malware. De hoeveelheid nieuwe JavaScript-malware groeide met 45% en nieuwe PowerShell-malware met 24%.

Beveiligingsincidenten. McAfee Labs telde 215 openbaar gemaakte beveiligingsincidenten, 12% minder dan in het tweede kwartaal. 44% van deze incidenten vond plaats in Noord- en Zuid-Amerika, 17% in Europa en 13% in het Stille-Oceaangebied.

Verticale markten als doelwit. Het aantal openbaar gemaakte incidenten bij financiële instellingen steeg met 20%. De onderzoekers van McAfee zagen een toename van het aantal spamcampagnes met ongebruikelijke bestandsformaten, in een poging de standaard e-mailbeveiliging te misleiden. Ook vonden ze malware die speciaal is gericht op banken. Deze omvatten het gebruik van twee factoren in zogeheten webinjects, in een poging twee-factor authenticatie te omzeilen. Deze tactieken zijn een reactie op de inspanningen die de banken in de afgelopen jaren hebben verricht voor het verbeteren van de beveiliging.

Het aantal incidenten gericht op de gezondheidszorg bleef hetzelfde en het aantal aanvallen op de publieke sector en het onderwijs daalden met respectievelijk 2% en 14%.

Regionale doelwitten. In het derde kwartaal zagen de onderzoekers van McAfee een nieuwe malware-familie genaamd CamuBot, die specifiek was gericht op doelwitten in Brazilië. CamuBot camoufleert zichzelf als een beveiligingsmodule voor financiële instellingen. De georganiseerde cyberbendes in Brazilië waren altijd al heel actief, maar hanteerden meestal vrij primitieve methoden. Uit hun gebruik van CamuBot blijkt dat ze hebben geleerd van hun collega's; deze malware is een stuk geavanceerder en vergelijkbaar met de malware die op andere continenten wordt gebruikt.

Het aantal openbaar gemaakte incidenten in Noord- en Zuid-Amerika daalde met 18% en in het Stille-Oceaangebied met 22%. In Europa was er sprake van een stijging van 22%.

Aanvalsvectoren. Malware stond bovenaan bij de bekendgemaakte aanvalsvectoren, gevolgd door het kapen van accounts, lekken, onbevoegde toegang en kwetsbaarheden.

Ransomware. GandCrab was een van de actiefste ransomware-families dit kwartaal en verhoogde het geëiste losgeld van 1000 naar 2400 dollar. In exploit kits, die bij vele cyberaanvallen worden gebruikt, werd ondersteuning toegevoegd voor kwetsbaarheden en ransomware. De hoeveelheid nieuwe ransomware steeg dit kwartaal met 10%. In de afgelopen vier kwartalen was dat 45%.

Mobiele malware. De hoeveelheid nieuwe mobiele malware daalde met 24%. Desondanks verschenen er een paar ongebruikelijke bedreigingen, waaronder een kwaadaardige app voor cheats in de game Fortnite en een valse datingapp. Deze laatste was gericht op soldaten van Israëlische leger en bood toegang tot de apparaatlocatie, contactpersonen en camera. Ook kon de app telefoongesprekken afluisteren.

Malware algemeen. De hoeveelheid nieuwe malware steeg met 53%. In de afgelopen vier kwartalen steeg de totale hoeveelheid malware met 34%.

Mac-malware. De hoeveelheid nieuwe malware voor Mac OS steeg met 9%. In de afgelopen vier kwartalen steeg de totale hoeveelheid malware voor Mac OS met 51%.

Macromalware. De hoeveelheid nieuwe macromalware steeg met 32%. In de afgelopen vier kwartalen was dat 24%.

Spamcampagnes. 53% van het spamverkeer in het derde kwartaal werd gegenereerd door Gamut, het botnet dat verantwoordelijk is voor de verspreiding van zogeheten 'sextorsion'-scams. Daarbij wordt gedreigd met het bekendmaken van iemands browsegeschiedenis, tenzij er wordt betaald.