Symantec kondigde vandaag de publicatie aan van het MessageLabs Intelligence Report voor april 2010. Uit de analyses blijkt dat niet langer Cutwail, maar Rustock het grootste botnet is, zowel voor wat de hoeveelheid verstuurde spam als het aantal beheerde bots betreft. Rustock heeft de gemiddelde productie van de bots weliswaar met 65% verminderd, maar het aantal actieve bots is dan weer met 300% gestegen, wat de productiedaling per bot ruimschoots compenseert. Ondertussen is Cutwail van 2 miljoen bots in mei 2009 afgeslankt tot 600.000 bots, die slechts 4% van alle spam voor hun rekening nemen. Met 32,8% van alle spam blijft Rustock het grootste botnet dat spam verstuurt.
« Door de sluiting van de ISP Real Host in augustus 2009 is Cutwail waarschijnlijk niet langer in staat om een aantal van zijn bots te upgraden. Daardoor dalen de aantallen snel en ligt herstel niet voor de hand, » verklaarde Paul Wood, Senior Analyst van MessageLabs Intelligence. « Rustock profiteert daarvan: het verovert de spammarkt met een grotere capaciteit en lagere operationele kosten en haalt op deze manier grote volumes van de spammers binnen. »
Grum en Mega-D komen op de tweede en derde plaats van de grootste botnets, na Rustock. Zij sturen respectievelijk 23,9% en 17,7% van alle spam uit. Mega-D heeft minder bots dan Rustock en Grum, maar het is het meest actieve botnet dat zijn 240.000 actieve bots elk gemiddeld zo’n 430 spammails per minuut laat uitsturen. Grum evolueerde de laatste vijf maanden weinig: elke bot verstuurt per minuut tussen 145 en 150 spammails. Maar Grum vergrootte onlangs wel het aantal gecontroleerde bots van 700.000 tot 1 miljoen, zodat dit het op één na grootste botnet is.
MessageLabs Intelligence analyseerde in april ook de "passive fingerprinting (PF) signatures" van het spamverkeer om na te gaan welke besturingssystemen op de geïnfecteerde, spamproducerende computers zijn geïnstalleerd. Veel geïnfecteerde computers draaien onder Windows en het spampercentage met een dergelijke PF-signature stemt overeen met het marktaandeel van het besturingssysteem Windows.
« Spam wordt vaker verstuurd van computers die Windows gebruiken dan van toestellen met andere besturingssystemen, » aldus Paul Wood. « Maar spam die niet van botnets afkomstig is, wordt in mindere mate verstuurd vanaf een computer met Windows dan spam die wel van de bekende botnets komt.»
Om de spamindex te berekenen, dat wil zeggen de kans dat een bepaalde computer spam verstuurt, wordt het spampercentage afkomstig van een bepaald besturingssysteem vergeleken met het marktaandeel van dat besturingssysteem. In de huidige spamomgeving blijkt uit deze index dat een Linux-computer vijf keer meer kans maakt om spam te versturen dan een computer die Windows gebruikt. Toch versturen Linux-computers slechts 5,1% van alle spam. Door het veel lagere marktaandeel van dit besturingssysteem circuleert er veel minder malware die het specifiek op Linux gemunt heeft. Steeds meer ISP’s verplichten hun klanten om hun e-mailverkeer via de eigen "smarthost" van de ISP te laten verlopen in plaats van e-mails rechtstreeks via TCP poort 25 te versturen. Een "smarthost" is een mailserver die ISP’s aan hun klanten ter beschikking stellen. Veel ISP’s gebruiken een gehoste omgeving waarvan ze de werkingskosten drukken door opensourcesoftware zoals Linux te gebruiken.
Een MacOS-besturingssysteem maakt de minste kans om spam te versturen, zowel wat zijn algemene bijdrage tot het spamverkeer als de individuele Mac-computers betreft. De spamindex geeft aan dat er vrijwel geen spam door computers met het MacOS-besturingssysteem wordt verstuurd, slechts 0,001% van alle onderzochte spam.
Op 4 mei is het tien jaar geleden dat Symantec Hosted Services, het toenmalige MessageLabs, een virus identificeerde en de naam LoveBug gaf. Het betreft een kwaadaardige worm voor massamailings die naar schatting 45 miljoen e-mailgebruikers infecteerde en op één dag voor miljarden dollars schade aanrichtte. Symantec Hosted Services was de eerste organisatie die het virus onderschepte en benoemde. In de loop van de dag werd het voor die tijd kolossale aantal van 13.000 exemplaren van het virus aangetroffen.
Tegenwoordig onderschept MessageLabs Intelligence op een doordeweekse dag niet minder dan 1,5 miljoen exemplaren van kwaadwillige e-mails. Massamailings met virussen als LoveBug zijn nu zeldzaam geworden. De cybercriminelen hebben hun technieken aangepast. Ze voeren nu meer doelgerichte, maar minstens even schadelijke aanvallen uit en zijn nu minder gedreven door prestaties en geloofwaardigheid, dan door financiële winst en identiteitsdiefstal. Op 4 mei 2000 bevatte 1 op 28 e-mails het LoveBug-virus. Ter vergelijking: op 9 april 2010, de piekdag van april, zat in 1 op 287,2 e-mails een virus. Over de hele maand april 2010 onderschepte MessageLabs Intelligence 26.208 verschillende malwarebedreigingen.
Toen in de dagen en maanden na 4 mei 2000 virussen opdoken die hun inspiratie bij LoveBug hadden gehaald, had SkepticTM, de "cloud-based" detectiesoftware van MessageLabs AntiVirus die gebruik maakt van predictieve analyse, de viruscode ontrafelt, zodat ook nieuwe malware kon worden onderzocht om alle verdachte e-mails in quarantaine te plaatsen.
« LoveBug was de opvolger van het Melissa-virus, een even destructieve worm van het jaar voordien, » aldus Paul Wood. « De gebruikers beseften toen nog niet hoe gevaarlijk verdachte e-mailattachments en e-mails van onbekende afzenders kunnen zijn. Het publiek was zich ook minder bewust van bedreigingen als spam of ‘denial-of-service’-aanvallen. »
Andere opmerkelijke bevindingen van het rapport:
Spam: In april 2010 bedroeg het totale spampercentage in het e-mailverkeer afkomstig van nieuwe en voordien onbekende kwaadwillige bronnen 89,9% (1 op 1,11 e-mails), een daling met 0,8 percentpunten sinds maart.
Virussen: In april zat er in het e-mailverkeer van nieuwe en voordien onbekende kwaadwillige bronnen over het algemeen een virus in één op 340,7 e-mails (0,294%), een toename met 0,01 percentpunten sinds maart. In april bevatte 28,9% van via e-mails verspreide malware een link naar criminele websites, een stijging met 12,1 percentpunten sinds maart.
Phishing: In april bedroeg de phisingactiviteit 1 op 455,2 e-mails (0,219%), een toename met 0,03 percentpunten sinds maart. In verhouding tot het totaal aantal bedreigingen via e-mail (dus inclusief virussen en trojan-aanvallen) is het aantal phishing-e-mails met 5,7 percentpunten toegenomen tot 70,3% van alle bedreigingen via e-mail.
Veiligheid op het web: Uit analyse van de webbeveiligingsactiviteiten blijkt dat 10,9% van alle in april onderschepte malware op het web nieuw was, een daling met 4,0 percentpunten sinds maart. MessageLabs Intelligence ontdekte per dag ook gemiddeld 1.675 nieuwe websites die malware en andere potentieel ongewenste programma’s zoals spyware en adware herbergen. Dit komt overeen met een daling met 12,7% sinds maart.
Geografische trends:
· Het spamniveau in Italië steeg met 95,5% in april, waardoor dit het meest gespamde land was.
· In de Verenigde Staten was 90,2% van alle e-mail spam en in Canada 88,9%. Het spamniveau in het Verenigd Koninkrijk bedroeg 89,4%.
· Nederland haalde een spamniveau van 91,5% van het e-mailverkeer, Australië van 89,4% en Duitsland van 92,3%.
· Het spamniveau in Hong Kong bereikte 91,0% en in Japan 86,9%.
· In Taiwan bedroeg de virusactiviteit 1 op 76,3 e-mails, waardoor dit land in april het grootste slachtoffer van malware in e-mails was.
· In de Verenigde Staten bedroeg het virusniveau 1 op 646,3 en in Canada 1 op 416,2. In Duitsland bedroeg het virusniveau 1 op 471,0, in Nederland 1 op 1.210,0, in Australië 1 op 416,5, in Hong Kong 1 op 501,0, in Japan 1 op 1.161,0 en in Singapore 1 op 613,0.
· Het Verenigd Koninkrijk bleef in april het grootste doelwit van phishing-aanvallen, met één dergelijke e-mail op 199,7.
Verticale trends:
· In april bleef engineering met een spamniveau van 94,9% de meest gespamde sector.
· Het spamniveau in het onderwijs bedroeg 91,1%, in de sector Chemie & Farmaceutica 90,2%, bij IT Services 90,7%, bij Retail 90,9%, bij de Overheid 88,4% en in de Financiële Sector 88,4%.
· In april bleef de Overheid de sector die het meeste blootstond aan malware-aanvallen: 1 op 99,1 e-mails werd geblokkeerd als schadelijk.
· Het virusniveau in de sector Chemie & Farmaceutica bedroeg 1 op 438,2, bij IT Services 1 op 487,5, bij Retail 1 op 600,2, in het Onderwijs 1 op 109,6 en in de Financiële Sector 1 op 365,9.
Het MessageLabs Intelligence Report voor april 2010 bevat meer informatie over alle bovenstaande trends en cijfers en meer gedetailleerde geografische en verticale trends. Raadpleeg hier het volledige rapport: http://www.messagelabs.com/intelligence.aspx.