Sophos, wereldleider in IT security en control, publiceert vandaag haar halfjaarlijks rapport met informatie over de belangrijkste evoluties in cybercrime van de voorbije 6 maanden. Het Sophos Security Threat Report onderzoekt alle bestaande en opkomende security trends en identificeert enerzijds het aantal webbedreigingen en anderzijds het aantal landen en types van servers die geïnfecteerde sites hosten.
Het eerste halfjaar van 2007 wordt gekenmerkt door een explosie in het aantal verstuurde webbedreigingen. Voor financieel gemotiveerde cybercriminelen is het web een meer interessante drijfkracht geworden dan e-mail. In juni alleen onthulde Sophos' wereldwijde netwerk van controleposten een record aantal geïnfecteerde webpagina's: ongeveer 29.700 per dag. Dit resultaat staat in schril contrast met het aantal gedetecteerde pagina's in het begin van dit jaar: ongeveer 5.000 per dag.
Sophos blokkeert miljoenen webpagina's om klanten tegen malware en ongewenste boodschappen te beschermen. Experts namen een momentopname van exact één miljoen webpagina's en merkten dat 28.8% hiervan malware droegen. Nog eens 28% werd geblokkeerd vanwege hun inhoud (vaak porno of gok websites), 19.4% waren opgesteld door spammers en 4.3% werd geklasseerd als illegaal (bijvoorbeeld wanneer het gaat om phising of illegale software).
Van alle websites, waarbij een kwaadaardige code werd gevonden, was enkel 1 op 5 specifiek ontworpen voor criminele activiteiten. De resterende 80% zijn gehackte, legale websites.
Apache meest gecompromitteerde server
Door slechts één enkel document op een web server te besmetten, kunnen cybercriminelen een enorm aantal websites aantasten aangezien het geïnfecteerde document een onderdeel kan zijn van tal van niet verwante pagina's die gepubliceerd staan op dezelfde server.
De belangrijkste, wereldwijde servers, aangetast door webbedreigingen tijdens de eerste helft van dit jaar:
1. Apache: 51.0%
2. Microsoft IIS 6: 34.0%
3. Microsoft IIS 5: 9.0%
5. nginx: 3.0%
Andere: 3.0%
Het feit dat meer dan de helft van alle geïnfecteerde webpagina's gehost staat op Apache servers, bewijst dat besmetting niet enkel een Windows probleem vormt. Eerder dit jaar bleek dat, tijdens een wereldwijde ObfJS aanval waarbij legale websites werden besmet zodat zij een kwaadaardige code konden dragen, 98% van alle besmette servers een Apache bleek te zijn, waarvan velen op een UNIX platform draaiden in plaats van Windows.
"We stellen ons de vraag, met een resultaat waarbij 80% van alle geïnfecteerde webpagina's wordt gevonden op legale websites, waarom webbeheerders geen adequate stappen ondernemen om hun servers beter te beveiligen", stelt Graham Cluley, senior technology consultant bij Sophos. "Eenvoudige maatregelen zoals het up-to- date houden van security patches kunnen tot op een zeker niveau een antwoord bieden tegen dit probleem. Des te minder zwakke punten in de server setup, des te lager het risico van infectie. Webbeheerders moeten zich vandaag de dag meer verantwoord gedragen en moeten zich ervan bewust zijn dat malware niet enkel een Microsoft probleem is."
Top 10 webgebaseerde bedreigingen
De belangrijkste, webgebaseerde malware, hosted op geïnfecteerde sites gedurende de eerste zes maanden van 2007:
1. Mal/Iframe: 49.2%
2. Troj/Fujif: 7.9%
3. JS/EncIFra: 7.3%
4. Troj/Psyme: 8.3%
5. Troj/Decdec: 6.9%
6. Troj/Ifradv: 4.1%
7. Mal/ObfJS: 2.5%
8. Mal/Packer: 1.5%
9. VBS/Redlof: 1.1%
10. Mal/FunDF: 0.9%
Andere: 10.3%
Mal/Iframe, dat werkt door het injecteren van een kwaadaardige code op een webpagina, overheerst – met bijna meer dan de helft van alle geïnfecteerde URL's – deze top 10. In een recente aanval waren meer dan 10.000 webpagina's geïnfecteerd. De meeste hiervan waren legale webpagina's gehost via één van de grootste ISP's van Italië.
"Mal/Iframe is een voorbeeld van een webbedreiging dat als een sneltrein kwetsbare websites viseerde en hen exploiteerde ongeacht of de inhoud over aardewerk ging of over porno.", vervolgt Cluley. "Webbeveiliging moet verder gaan dan het blokkeren van websites op basis van een categorie. Zo kan een website rond gokken een serieuze bedreiging vormen, maar soms zijn het de websites die het minst schadelijk lijken die het grootste gevaar kunnen zijn."
Meest geïnfecteerde webpagina's hosted in China
De top 10 van landen hosting malware geïnfecteerde webpagina's gedurende de eerste helft van 2007:
1. China: 53.9%
2. Verenigde Staten: 27.2%
3. Rusland: 4.5%
4. Duitsland: 3.5%
5. Oekraïne: 1.2%
6. Frankrijk: 1.1%
7. Canada: 0.8%
8. Verenigd Koninkrijk: 0.7%
9= Taiwan: 0.6%
9= Zuid-Korea: 0.6%
Andere: 5.9%
China, dat aan het einde van 2006 nog gastheer was voor net iets meer dan één derde van alle malware, is nu verantwoordelijk voor meer dan de helft van alle webbedreigingen die tijdens de eerste zes maanden van 2007 door Sophos gerapporteerd werden. Hierdoor is de Verenigde Staten niet langer koploper. De dramatische stijging van China is hoofdzakelijk toe te schrijven aan de wijdverspreide Mal/Iframe infecties op gehoste Chinese webpagina's. Eigenlijk is meer dan 80% van alle besmette webpagina's geïnfecteerd met deze malware.
Hackers maken gebruik van USB sleutels en PDF documenten
In de eerste helft van 2007 ontdekte Sophos een heropleving in het verspreiden van malware via verwijderbare drives: het is niet langer de floppy disk uit de jaren ‘90, maar de USB memory sticks. Door gebruik te maken van USB sticks kunnen hackers computergebruikers misleiden wanneer hun Windows computer een "auto-run" toelaat om automatisch de code uit te voeren van zodra de stick aan de computer wordt aangesloten. Een opmerkelijk voorbeeld dit jaar was de LiarVB-A worm die informatie verstuurde rond AIDS en HIV via USK sleutels.
"USB sticks zijn een groeiende zorg voor bedrijven. Dankzij hun massaproductie en hun lage prijs, zijn ze de perfecte keuze als geschenkmateriaal voor marketingacties", vervolgt Cluley. "Gebruikers moeten zeer zorgvuldig omspringen met USB sticks, zelfs wanneer deze net van de winkel komt."
Een andere nieuwe tactiek die – gedurende het eerste half jaar van 2007 – wordt gebruikt door cybercriminelen, is het toevoegen van attachments aan spamberichten. Om te vermijden dat berichten gedetecteerd worden door minder gesofisticeerde gateway filters, merkt Sophos een groeiende trend in het gebruik van PDF documenten, waarin een grafische versie van hun marketingboodschap zit verscholen. Criminelen willen zo meer potentiële klanten bereiken.
E-mail blijft reden voor bezorgdheid
Bedrijven blijven zich zorgen maken rond e-mailbedreigingen. Hoewel deze door webgebaseerde bedreigingen overtroffen worden, blijft het absolute aantal van e-mail malware een constante gedurende het afgelopen jaar. Het aandeel geïnfecteerde e-mail gedurende de eerste helft van 2007 bedraagt 1 op 337, of 0.29% van alle berichten. Er werden meer dan 8.000 nieuwe versies van de Mal/HckPk bedreiging gedetecteerd in 2007. Deze werd wereldwijd gebruikt om e-mailaanvallen zoals Dref en Dorf te vermommen.
Het Sophos Security Threat Report 2007 – met meer informatie rond de laatste trends in malware, spyware en spam, kan via onderstaande link gedownload worden:
http://www.sophos.com/reportjul2007
