G DATA: Hoeveelheid Trickbot sterk gestegen en meer adware aanvallen

Eddy Willems

02-10-2020 | door: Wouter Hoeffnagel

G DATA: Hoeveelheid Trickbot sterk gestegen en meer adware aanvallen

Beveiligingsbedrijf G DATA CyberDefense waarschuwt voor de malware Trickbot. De hoeveelheid Trickbot malware die wordt verspreid is het afgelopen half jaar verdrievoudigd. Iedere 6,5 minuut verschijnt een nieuwe variant. Ook de hoeveelheid adware aanvallen is flink toegenomen.

Dit meldt G DATA op basis van zijn nieuwste dreigingsanalyse. Trickbot is geen onbekende en bestaat al zeker sinds 2016. Trickbot is een multifunctionele bot die door zijn makers continu wordt bijgewerkt met nieuwe mogelijkheden, functies en distributievectoren. Hierdoor is Trickbot een flexibele en aanpasbare malware die kan worden verspreid voor verschillende doeleinden. De malafide software kan onder meer worden gebruikt om inloggegevens te stelen, een backdoor te installeren, andere malware te downloaden of spammails te sturen.

Meer adware

In mei werden ook veel adware campagnes geïdentificeerd en gestopt, waardoor de hoeveelheid gedetecteerde malware in april en mei werd verdubbeld (+119,4 procent). Hoewel adware op het eerste gezicht minder schade aanricht dan ransomware, waarschuwt G DATA gebruikers dergelijke aanvallen niet te onderschatten. Deze vorm van malware verzamelt persoonlijke gegevens zoals surfgedrag. De gegevens worden door cybercriminelen vervolgens omgezet in geld.

De sterke toename is ook te wijten aan het feit dat adware steeds slimmer is geworden. Sommige adware is bijvoorbeeld in staat om antivirusprogramma's of besturingssystemen te omzeilen. Een andere reden is dat er, in tegenstelling tot andere kwaadaardige malware, vrijwel geen technische kennis nodig is om passende adware campagnes te ontwikkelen. De inspanning is minimaal, het rendement maximaal.

150% meer aanvallen

De onderzoekers van G DATA hebben in het tweede kwartaal van dit jaar een stijging van meer dan 150 procent gezien in het aantal aanvallen ten opzichte van het eerste kwartaal. Vooral particuliere gebruikers waren het afgelopen half jaar het doelwit van cybercriminelen. Bedrijven liggen volgens de analyse ook nog steeds onder vuur. G DATA registreerde 136,3 procent meer pogingen van aanvallen gericht op bedrijfsnetwerken.

De malware top 10 wordt gedomineerd door Remote Access Trojans (RAT). Zeven van de tien families zijn RAT's en maken het mogelijk om een computer op afstand te bedienen en te beheren zonder dat de gebruiker daar iets van merkt. Op deze manier kunnen cybercriminelen wachtwoorden stelen, vertrouwelijke gegevens uitlezen, data verwijderen van de harde schijf of bestanden versleutelen. De hoeveelheid samples van de RAT-variant njRAT / Bladabindi is het afgelopen half jaar ook toegenomen. In het afgelopen half jaar zijn net zoveel nieuwe samples geïdentificeerd als in heel 2019.

g-data-malware-top-10-oktober-2020.png

Qbot neemt het gedrag van emotet over

Een nieuwkomer op de ranglijst is Qbot. Op dit moment gebruikt deze RAT een aanvalspatroon dat voorheen alleen bekend was bij Emotet malware. Qbot voegt kwaadaardige links toe aan een bestaand mailbericht, zodat de ontvanger de authenticiteit van het bericht vertrouwt en op de link in de mail klikt. Deze link leidt naar een gehackte website van waaruit verdere malware wordt geüpload in het bedrijfsnetwerk.

Qbot is sinds 2007 bekend en is inmiddels een universeel wapen voor cybercriminelen geworden. De oorspronkelijke bankmalware heeft extra wormelementen en is actief als credential stealer. Aanvallers gebruiken het om toegangsgegevens te kopiëren en te misbruiken.

Coinminer vertraagd computers

In de eerste helft van het jaar heeft G DATA ook hoge activiteiten op het gebied van de coinminer malware geregistreerd. Cybercriminelen gebruiken de rekenkracht van besmette computers om crypto's te genereren zoals Bitcoin, Monero en Ethereum. Er werden meer dan 107.000 samples van verschillende coinminer families geïdentificeerd. Dit is gemiddeld één sample per 2,4 minuten.

Coinmining is geen nieuwe cyberdreiging maar al enkele jaren bekend. Terwijl cybercriminelen er geld mee verdienen, moeten gebruikers de elektriciteitskosten betalen en een computer met beperkte prestaties gebruiken. Door coinmining ondervinden slachtoffers trage reactietijden, ongewone netwerkactiviteit, crashes en frequente verzoeken om de computer op te starten. Cybercriminelen gebruiken verschillende methoden om te infiltreren in bedrijfsnetwerken en privécomputers en misbruiken deze voor hun eigen doeleinden. Ze nemen vaak de weg van de minste weerstand en maken gebruik van gaten in besturingssystemen of toepassingen.

Cybercriminelen spelen in op coronacrisis

“Cybercriminelen profiteren van de coronacrisis en hebben ze sinds het uitbreken van de pandemie aanzienlijk meer aanvalspogingen ondernomen. Dit komt vooral door de toename van het internetgebruik. Hoewel veel medewerkers inmiddels zijn teruggekeerd naar kantoor, brengen mensen in hun privéleven veel meer tijd door achter de computer om bijvoorbeeld online te winkelen of eten te bestellen. Dit kan een reden zijn voor de explosieve aanvallen op particuliere gebruikers”, aldus Eddy Willems Cybersecurity Evangelist bij G DATA CyberDefense. "Mensen blijven een poort voor aanvallen wanneer ze klikken op links in phishing mails of bijlages openen met kwaadaardige codes. Naast een moderne endpoint beveiliging is het belangrijk dat organisaties ook actie ondernemen om medewerkers te trainen. Op deze manier kunnen medewerkers gevaren herkennen en pogingen tot phishing onmiddellijk melden.”

Terug naar nieuws overzicht

Tags

Security
Security