Cybercriminelen gebruiken steeds vaker kwaadaardige cryptominers
Kwaadaardige cryptominers vormen een groeiend probleem dat voorlopig ook niet verdwijnt. Cybercriminelen zetten deze vorm van malware steeds vaker in voor het illegaal 'delven' van cryptomunten. Tot deze conclusie komt WatchGuard Technologies in zijn Internet Security Report over het eerste kwartaal van 2018.
WatchGuard UTM-appliances
Het rapport is gebaseerd op geanonimiseerde data afkomstig van 40.000 actieve WatchGuard UTM-appliances. Deze apparaten blokkeerden in het betreffende kwartaal ruim 23 miljoen malwarevarianten en 10 miljoen netwerkaanvallen.
Met name opvallend is de malware die werd gestopt met de Firebox-rule 'Linux/Downloader'. Deze rule detecteert dropper- en downloadprogramma's die doorgaans verantwoordelijk zijn voor het downloaden en draaien van uiteenlopende malware. In het eerste kwartaal van 2018 was het beeld echter eenzijdiger. In maar liefst 98,8 procent van de gevallen ging het namelijk steeds om dezelfde Linux-gebaseerde cryptominer.
Volgens WatchGuard is cryptomining hard op weg om de top 10 met grootste dreigingen binnen te dringen. ‘Ons Threat Lab-team heeft meerdere redenen om aan te nemen dat het gebruik van cryptominers gemeengoed wordt onder cybercriminelen’, zegt Corey Nachreiner, chief technology officer van WatchGuard. ‘Die dominantie zal in het tweede kwartaal verder toenemen.’
Grootste dreigingen
In het Internet Security Report geeft WatchGuard elk kwartaal een update over de actuele cyberdreigingen. Zo wordt in deze editie de recordbrekende DDoS-aanval op GitHub ontleed. Deze aanval had een kracht van 1,35 Tbps. Ook bevat het rapport aanbevelingen om medewerkers, klanten en andere stakeholders te beschermen tegen gegevensdiefstal.
Naast de constatering dat de dreiging van cryptominers toeneemt, zijn dit de belangrijke bevindingen in het rapport over Q1:
- De Ramnit-trojan maakt een comeback (in Italië). Ramnit, een trojan die al in 2010 opdook en in 2016 een wederopstanding doormaakte, staat voor het eerst in de top 10 van WatchGuard. Opvallend is dat 98,9 procent van de Ramnit-detecties in Italië plaatsvond. Dit duidt erop dat de aanvallen met Ramnit zeer gericht zijn, in dit geval op de bankgegevens van Italianen.
- APAC rapporteert voor het eerst het hoogste malwarevolume. In het eerste kwartaal van 2018 kreeg Azië-Pacific de meeste malware van alle regio's wereldwijd te verduren. Verreweg de meeste malware was Windows-gebaseerd. 98 procent van de aanvallen was gericht op India en Singapore.
- Mimikatz richt zich op de VS en slaat APAC over. De Windows-gebaseerde malware Mimikatz, die het heeft voorzien op inloggegevens, staat na een afwezigheid van enkele kwartalen weer in de malware top 10 van WatchGuard. Mimikatz werd met name in de Verenigde Staten gedetecteerd. In APAC kreeg de malware nauwelijks voet aan de grond.
- Bijna de helft van alle malware onttrekt zich aan elementaire antivirusoplossingen (AV). 0-day malware (malware die in staat is om traditionele, op handtekening gebaseerde AV te omzeilen) was in Q1 goed voor 46 procent van alle malware. Dit betekent dat criminelen op grote schaal obfuscatietechnieken gebruiken om traditionele AV-diensten te verslaan en onderstreept het belang van een gedragsgebaseerde verdediging.
‘Onder andere de nieuwe aanvallen met cryptominingmalware bewijzen dat kwaadwillenden hun tactieken voortdurend aanpassen’, aldus Nachreiner. ‘Met geavanceerde technieken slagen ze erin om op signatures gebaseerde antivirusoplossingen te passeren. De verdediging heeft daarom behoefte aan een geavanceerde malwarepreventie zoals wij die met onze APT Blocker-dienst bieden.’