Symantec Corp kondigt de lancering aan van zijn MessageLabs Intelligence veiligheidsrapport over 2009. Uit het jaarverslag blijkt dat de cybercriminelen hun overlevingskansen hebben vergroot en in 2009 vooral hebben ingezet op volume en diversiteit.
Een van de meest opvallende bevindingen van het rapport is een turbulente spamactiviteit met een gemiddeld spampercentage van 87,7% en uitschieters van 90,4% in mei en 73,3% in februari. Geïnfecteerde computers verspreiden 83,4% van de 107 miljard spamberichten die gemiddeld elke dag wereldwijd circuleren. Na het afsluiten van ISP’s die botnets hosten, zoals McColo eind 2008 en Real Host in augustus 2009, lijkt het erop dat botnets hun "command-and-control" back-upstrategie hebben herzien en verbeterd, zodat ze al na enkele uren in plaats van weken of maanden opnieuw actief zijn. Men voorspelt dat botnets in 2010 autonoom intelligent zullen worden, waarbij elke "node" ingebouwde autonome programma’s bevat om zijn overleving te coördineren en veilig te stellen.
In 2009 bleven botnets het terrein van de cybercriminaliteit bezetten, waarbij de tien belangrijkste botnets, zoals Cutwail, Rustock en Mega-D, minstens vijf miljoen geïnfecteerde computers controleren. Cutwail was zowel inzake spam als malware de absolute leider in 2009. Deze botnet verstuurde tussen april en november 2009 29% van alle spam of 8.500 miljard spamberichten. Cutwail maakte van dit overwicht gebruik om e-mails met de Bredolab-trojan te verspreiden, vermomd als een .ZIP-attachment. De Bredolab-trojan, een van de grootste bedreigingen van 2009, geeft de verzender volledige controle over de geïnfecteerde computer. Deze kan dan worden gebruikt om andere botnetmalware, adware of spyware op de computer van het slachtoffer te installeren. Het percentage spam met een installatieprogramma voor de Bredolab-trojan nam eind 2009 voortdurend toe, tot in oktober 2009 een hoogtepunt werd bereikt. Men raamt het aantal e-mails met Bredolab-malware dat toen circuleerde op ongeveer 3,6 miljard.
"2009 was het jaar waarin de cybercriminelen hun capaciteiten verfijnden, in plaats van alleen te vertrouwen op massale spam- en malwareverspreiding. Wij onderschepten meer varianten met geavanceerde eigenschappen, een grotere efficiëntie en een verbeterde technologie," verklaarde Paul Wood, MessageLabs Intelligence Senior Analyst bij Symantec. "Wij noteerden in 2009 meer dan 21 miljoen soorten spamcampagnes, meer dan het dubbele van 2008. Wij merkten ook dat de diversiteit in malware op een jaar tijd met 23% is toegenomen. Deze aanzienlijke verhoging wijst erop dat het met de gespecialiseerde criminele toolkits, die gemakkelijker te verkrijgen zijn, eenvoudiger dan ooit wordt om spam en malware te creëren, te verspreiden en te gebruiken."
De meest verontrustende bedreiging dit jaar was Conficker/Downadup, een worm waarmee criminelen remote software installeren op geïnfecteerde computers. De Conficker-worm dook eind 2008 al op, maar op 1 april 2009 volgde er een update met extra functionaliteit, waardoor de worm moeilijker te detecteren werd. Het verontrustende aan Conficker is, dat het nog altijd niet duidelijk is hoe de geïnfecteerde computers zullen worden misbruikt. Volgens de Conficker Working Group, die het potentiële gevaar van deze malware in 2009 met succes heeft ingedijkt, gaat het in totaal om meer dan zes miljoen computers.
In de eerste helft van 2009 leverde de kredietcrisis inspiratie voor veel aanvallen met een financieel tintje. De spammers en criminelen probeerden hun voordeel te doen met de onzekerheid die door de wereldwijde economische malaise werd veroorzaakt. In februari zorgde spam met hyperlinks naar een aantal bekende zoekmachines aanvankelijk voor de meeste spam in verband met de recessie. In 2009 bevatte 90,6% van de spam een URL. Dit hoge cijfer is vooral te wijten aan de grote hoeveelheid spam met verkorte URL’s in de tweede helft van het jaar. Verkorte URL’s verbergen de echte website die de gebruiker bezoekt en maken het voor de traditionele antispamfilters moeilijker om berichten als spam te identificeren. Verkorte URL’s waren populair op sociale netwerken en microblogsites. Ze worden ook vaak gebruikt door cybercriminelen wegens het grote vertrouwen dat er heerst tussen de gebruikers van deze websites.
Niet alleen de wereldwijde kredietcrisis, maar ook algemeen gevierde feestdagen, evenementen en gebeurtenissen waren in 2009 spamthema’s. Voorbeelden hiervan zijn Valentijnsdag, de H1N1-griepepidemie en de dood van beroemde personen, zoals zanger Michael Jackson en acteur Patrick Swayze. Ook malware-auteurs en zelfs "advance fee"-fraudeurs laten zich niet onbetuigd. Bij het overlijden van Michael Jackson waren er al na enkele dagen voorbeelden van dergelijke spam, inclusief een Braziliaanse banktrojan die via criminele hyperlinks werd verspreid.
"Hoewel sommige aanvallen blijk geven van geavanceerde, innoverende technieken, is voorspelbaarheid momenteel nog altijd een belangrijk kenmerk van de bedreigingen," aldus Paul Wood. "In de sector worden dit thema-aanvallen genoemd, bijvoorbeeld rond Valentijn, Kerstmis of de dood van beroemde personen. Dat deze aanvallen nog zo frequent en massaal voorkomen, wijst erop dat de cybercriminelen nog altijd de gewenste resultaten boeken. Anders hadden zij hun tactiek wel aangepast."
Ten slotte kwam de CAPTCHA-technologie (Completely Automated Public Turing test to tell Computer and Humans Apart) dit jaar steeds meer onder vuur te liggen. Tools om CAPTCHA-codes te breken worden druk verhandeld in de parallelle economie. Cybercriminelen slagen er dan ook in om grote aantallen echte accounts aan te maken op websites voor webmail, instant messaging en sociale netwerken. Er komen steeds meer bedrijven die mensen ronselen om de klok rond echte accounts aan te maken op grote webmaildiensten. In de vacatures staat vaak dat het om gegevensverwerking gaat, terwijl ze in feite twee of drie US dollars ontvangen per 1.000 aangemaakte accounts. Deze worden dan voor $ 30 tot $ 40 dollar verkocht aan spammers. Sommige belangrijke websites zoeken al alternatieven voor de gekrulde en dansende letters en cijfers, zoals grote fotobibliotheken. Het analysevermogen en de interactie die dan van de gebruikers worden gevraagd zouden nog te moeilijk zijn voor een computerprogramma.
Belangrijkste trends in 2009
Veiligheid op het web:
Het gemiddeld aantal nieuwe kwaadwillige websites die elke dag werden geblokkeerd steeg in 2009 tot 2.456. In 2008 waren het er nog 2.290, een stijging met 7,6%. MessageLabs Intelligence blokkeerde bedreigingen van 30.000 verschillende domeinen. 80% van deze domeinen waren gevestigde en legitieme, maar besmette websites. De overige 20% waren nieuwe domeinen die uitsluitend met kwade bedoelingen werden gecreëerd.
Spam: Het gemiddelde spamniveau lag in 2009 op 87,7%, dus 6,5% meer dan de 81,2% van 2008. In april bereikte de beeldspam een piek: 56,4% van alle spam was op 5 april van deze aard, te vergelijken met een jaargemiddelde van 28,2%.
Virussen: Het gemiddelde virusniveau in 2009 bedroeg 1 op 286,4 e-mails (0,35 %), een daling met 0,35% in vergelijking met 2008. Toen ging het om 1 op 143,8 e-mails (0,70%). Deze daling kan toe te schrijven zijn aan de overgang naar een systeem met meer varianten (23% meer in 2009 in vergelijking met 2008), maar een kleiner aantal schadelijke e-mails per soort (ongeveer 5.827 schadelijke e-mails per soort in 2009, terwijl dit er in 2008 nog 10.436 waren).
Phishing: Het aantal phisingaanvallen bedroeg 1 op 325,2 (0,31%) e-mails, te vergelijken met 1 op 244,9 (0,41) in 2008. In 2009 circuleerden er meer dan 161 miljard phishingaanvallen.
Het jaarlijkse MessageLabs Intelligence Rapport bevat uitgebreide informatie over alle bovenstaande trends en cijfers en verdere uitleg bij de trends van 2009. U vindt het volledige rapport hier:
http://www.messagelabs.com/Threat_Watch/Intelligence_Reports.