Crypto-geldgewin drijft malware: kwantiteit maakt plaats voor kwaliteit

Malwarebytes stelde een daling in het aantal cyberaanvallen vast in het tweede kwartaal van 2018. Dat is op het eerste zicht goed nieuws, maar de kwaliteit van de malware gaat er wel op vooruit, waardoor bedrijven extra op hun hoede moeten zijn.

Malwarebytes maakt die analyse in een nieuw rapport dat deze week werd gepubliceerd. De securityspecialist doet daarvoor beroep op informatie en statistieken die zijn onderzoekers verzamelen enerzijds, en telemetriegegevens van de miljoenen machines die zijn antivirussoftware draaien anderzijds.

Hoewel de introductie van de complexe VPNFilter-malware – die al honderdduizenden slachtoffers onder kmo’s en consumenten maakte – de cybersecuritywereld heeft wakker geschud, zag Malwarebytes toch vooral een daling in het aantal infecties. Uitbarstingen zoals die van WannaCry en NotPetya vorig jaar, bleven voorlopig in 2018 ongeëvenaard.

MalwareBytes ziet eerder een verschuiving van kwantiteit naar kwaliteit. Campagnes zoals VPNFilter, maar ook bijvoorbeeld SamSam, zijn kleinschaliger maar veel complexer. Het zijn doelgerichte aanvallen op een hoger niveau, die potentieel een veel grotere impact kunnen hebben op hun slachtoffers.

Alle wegen leiden naar crypto

In bedrijfsomgevingen vormen cryptominers momenteel de grootste dreiging, maar Malwarebytes stelt vast dat het aantal infecties stilaan een plateau bereikt. “Veel criminelen krijgen uiteindelijk niet de return on investment die ze hadden verwacht. De cryptojacking-rage zal waarschijnlijk stabiliseren in verhouding met de evolutie van de cryptocurrencymarkt”, klinkt het in het rapport. Een plotse stijging of daling van de waarde van bitcoin en consorten kan het aantal infecties opnieuw in de ene of de andere richting beïnvloeden.

 

Malwarebytes populairste malware
Bron: Malwarebytes Cybercrime Tactics and Techniques: Q2 2018

Hoewel het aantal detecties bijna halveerde, staan banktrojans nog altijd op nummer twee in de lijst. Het gaat meer bepaald over de Emotet-familie van trojans, die tussen maart en mei voor een grootschalige malwarecampagne werd ingezet. De infectie was erop gericht om cryptomunten te stelen uit offline wallets. Net als bij de cryptominers, daalt ook de populariteit van deze malware samen met de waarde van de cryptomarkt.

Adware staat op de derde plaats, simpelweg omdat het nog altijd zo eenvoudig te verspreiden is. Het wordt gevolgd door een opvallende stijging in backdoor-infecties op nummer vier. Die piek kan volgens Malwarebytes worden toegeschreven aan de specifieke Backdoor.Vools-campagne, die opnieuw als doel heeft om cryptomunten te vergaren door miners op de besmette systemen te installeren. Opvallend: Vools maakt onder meer gebruik van EternalBlue, de exploit die ook verantwoordelijk was voor de snelle verspreiding van WannaCry en al meer dan een jaar geleden door Microsoft werd gepatcht.

Spyware, dat in Q1 2018 nog heel wat schade aanrichtte, zakte met 40 procent weg naar een vijfde plaats. De spyware-variant die het wel nog goed deed, was het beruchte TrickBot. Die werd uitgebreid met extra functionaliteit om – drie keer raden – cryptocurrency wallets te stelen van zijn slachtoffers. Malwarebytes verwacht dat spyware in Q3 uit de top tien zou kunnen verdwijnen.

Ransomware

De opvallendste verliezer is ransomware, dat voor het grootste deel van 2017 heer en meester was, maar nu wegzakt naar de zesde plaats na een klap van 35 procent.

Toch blijft ransomware een belangrijk risico voor bedrijven. “Net als in het vorige kwartaal hebben ransomware-auteurs in Q2 hun pijlen op bedrijven gericht, met een serieuze stijging in mei na een lichte daling in februari. Dit volgt de trend van het hergebruiken van ransomware-aanvallen op de meer succesvolle doelwitten: bedrijven en organisaties”, besluit Malwarebytes.