2017-11-Q3-Threat-Report

Trusselrapport for Q3/2017

Svindlere jobbet aktivt med å etterligne pålitelige merkevarer i E-post, sosiale medier og på nettet. Dette er noen av de trendene vi så i 3. kvartal 2017.

De aller fleste angrep starter med en e-post, enten som et vedlegg, eller en link/URL.

Hvordan ser dette landskapet ut og hvordan har utviklingen vært?

Er det andre angrepsflater man også bør vie oppmerksomhet?

 

Hvem blir berørt?

Det er dessverre ikke slik at noen bedrifter, personer eller offentlige virksomheter er beskyttet mot å bli angrepet.

Vi snakker gjerne om to typer angrep:

  • E-post kampanjer. Dette er e-poster som sendes ut til på bred front uten at det er gjort særlige vurderinger av mottakeren. Inneholder gjerne et vedlegg eller link som ofte er enkle å avsløre som falske.
  • Målrettede angrep. Angriperen innhenter informasjon om virksomheten, deres ansatte, venner av de ansatte, informasjon på sosiale medier (FB, LinkedIn etc.) før angrepet starter. Innholdet er tilpasset slik at det fremstår som meget troverdig, der sjargong og interessefelt passer svært godt til mottager.

Om en ansatt i en virksomhet mottar en falsk e-post fra en tilsynelatende bekjent i bedriften eller i sin vennekrets er sannsynligheten mye større for at angrepet lykkes. 


Er din virksomhet i målgruppen for målrettede angrep:

2017-11 Q3 Industri Targeting skisse

Kort oppsummering av Q3/17 rapporten

E-post 
E-post med skadelig innhold økte med 85% i forhold til forrige kvartal på grunn av en eksplosjonsartet økning av URL’ r med skadelig innhold.
Ransomware/løsepengevirus er fortsatt den største malware-kategorien og står for nesten 64% av alle forsøk på leveranse av malware.
Trojanere rettet mot bank, representerte 24% av all e-post med «The Trick» som alene sto for 70% av dette.
Økningen av svindelforsøk økte med 29% fra Q2 til Q3.

Sosiale medier
Falske support kontoer som blir benyttet til såkalt "angler phishing" er doblet fra fjoråret.
Antall falske supportkontoer økte med 5% i forhold til foregående kvartal, mens antallet phishing-koblinger på virksomhetens sosiale medier til økte med 10%.

Domene
Mistenkelige eller falske domeneregistreringer utgjør mindre enn 1 av 20 av nye domeneregistreringer.
Samtidig ser man at mistenkelige domeneregistreringer øker med 20% siste året.
Med mistenkelig eller falsk registering menes at det etableres et domene som til forveksling likner et annet domene. Eks: dataequipment.no vs. dataequipmemt.no.

 

Trusler og trender

E-post
Antallet e-poster som inneholdt malware via URL økte dramatisk forrige kvartal. URL-baserte malware kampanjer(utsendelser) hadde en økning med nesten 600%. En av de største aktørene, TA505, kjent for blant annet massive Locky kampanjer (eks. kryptolocker) endret fra vedlegg til URL for å levere malwaren.

Likevel står ondsinnede vedlegg for en betydelig del av angrepene. Angriperne lanserte et mindre antall av vedleggs kampanjer enn tidligere, men leverte noen svært store kampanjer som skjulte skadelig kode i komprimerte filarkiver. Kampanjene brukte RAR- og 7-Zip-arkivfilformater som inneholdt skadelig JavaScript eller VBScript. Når disse ble kjørt (klikket på) ble skriptene lastet ned og LOCKY ransomware installert.

2017-11 Q3 Comarison of Indexed Daily skisse


Ransomware
Ransomware-forsøk utgjorde nesten 64% av den totale skadelige e-post antallet og er fortsatt den dominerende trussel i landskapet. Nye varianter dukket opp daglig og utvikling av målrettede angrepene vokste.
De fleste ransomware dukket opp i svært store Locky-kampanjer fra TA505. Men TA505 sendte også ut GlobeImposter og Philadelphia ransomware varianter. Spesielt inneholdt én av disse truslene en "Offline" -versjonen av Locky som ikke krever en sentral kommando-og-kontroll (C & C) infrastruktur for å kryptere offerets filer.

Andre angripere flyttet videre fra kampanjer med stort volum til mer målrettede angrep. Én introduserte Defray ransomware-stammen i småskala angrep på helsetjenester og utdanning mål i august.

Den nesten eksplosjonsartede veksten av nye RANSOMWARE i løpet av det siste året ser ut til å avta. I gjennomsnitt dukket opp 1,4 nye ransomware-varianter hver dag, ned fra 1,8 nye varianter per dag i forrige kvartal. Nedgangen skyldes sannsynligvis en nedgang i et stort antall "mindre prosjekt", "proof of concept" eksperimentelle og "script kiddie" ransomware-varianter som bidro til å blåse opp tidligere tall. Med andre ord peker denne reduksjonen ikke på en lavere trussel. Istedenfor antar man at angripere konsentrerer seg rundt noen få teknikker for å bruke ransomware mer effektivt og mer sofistikert.  

2017-11 Q3 Malware by Category Skisse


Sosiale medier
Falske support-kontoer på sosiale medier har økt med 5% fra forrige kvartal og har doblet seg i løpet av det siste året. De falske kontoene varierer i innhold, alt fra å være en bærer av malware til ren svindel.

Man kan dele dette opp i to grupper:

  • Support kontoer som blir benyttet til målrettede angrep
  • Support kontoer som benytter mer tradisjonelle phishing teknikker som linker til URL’r som igjen ber om personlig informasjon

Falske kontoer som utgir seg for å være en virksomhet økte med 10% fra forrige kvartal.

Selv om angripere i stor grad fortsatt benytter seg av «tradisjonelle» metoder ser man en klar vridning til angrep via sosiale medier og falske kontoer. En av grunnene til dette er at vanlige phishing teknikker fortsatt fungerer meget godt og er enkelt å legge til en eks ondsinnet URL i et svar på et sosialt medium.

Ofte benyttes tradisjonelle metoder for å få en bruker til å klikke på en link på en support side. Dette er raskt, enkelt og billig for en angriper.

Samtidig ser man en vridning mot målrettede angrep. Disse fremstår som legitime for mottager i større grad en mer vilkårlige linker som sendes eller legger ut på sosiale medier. Disse har ofte en større alvorlighetsgrad og vil derfor ofte være mer lukrative for angriperen. Eller sagt på en annen måte, betalingsviljen er større for den som blir angrepet.

2017-11 Q3 Social Media Attacks

 

 

Last ned hele rapporten her

ØNSKER DU Å BLI KONTAKTET?

Vi svarer gjerne på dine spørsmål.
Ta kontakt med oss på E-post eller pr. telefon 23 16 80 00