Mobiele ransomware vormt een groeiende dreiging

Cybercriminelen achter mobiele ransomware zijn hun aanvallen aan het richten op welvarende landen. Ontwikkelde markten hebben niet alleen een hoger inkomstenniveau, maar ook een meer geavanceerde en op ruimere schaal gebruikte mobiele en e-betalingsinfrastructuur. Dit is aantrekkelijk voor criminelen, aangezien slachtoffers het losgeld met slechts enkele klikken kunnen overboeken.

Dit blijkt uit het Kaspersky Security Network (KSN) rapport van Kaspersky Lab. Het verslag bestrijkt de volledige tweejarige periode die, in het kader van het vergelijkingsmateriaal, is opgedeeld in twee delen van elk 12 maanden: van april 2015 t/m maart 2016 en van april 2016 t/m maart 2017. Deze specifieke periodes zijn gekozen omdat hierin diverse belangrijke veranderingen hebben plaatsgevonden in het dreigingslandschap van ransomware.

Forse stijging in Q1 2017

In het eerste kwartaal van 2017 schoot de activiteit van mobiele ransomware omhoog, met 218.625 mobiele Trojan ransomware-installatiepakketten – 3,5 keer zoveel als in het voorgaande kwartaal. De activiteit daalde vervolgens tot het gemiddeld waargenomen niveau van de tweejarige periode. Ondanks deze verlichting wekt het mobiele dreigingslandschap nog steeds veel onrust op, aangezien criminelen landen aanvallen met ontwikkelde financiële en betalingsinfrastructuren die gemakkelijk zijn te hacken.

Van alle door mobiele ransomware aangevallen gebruikers in de periode 2015-2016, was Duitsland het land met het hoogste percentage slachtoffers(bijna 23%). Dit werd gevolgd door Canada (bijna 20%), het VK en de VS - beide met meer dan 15%. Dit veranderde in 2016-2017, toen de VS van de vierde plaats opschoof naar de eerste positie (bijna 19%). Canada en Duitsland behielden hun top-3 notering met respectievelijk bijna 19 procent en ruim 15%, waardoor het Verenigd Koninkrijk vierde werd met ruim 13%.

Svpeng- en Fusob-malwarefamilies

De opkomst van de Verenigde Staten was grotendeels te wijten aan aanvallen via de Svpeng- en Fusob-malwarefamilies, waarvan de eerste zich voornamelijk richt op Amerika. De malwarefamilie Fusob richtte zich in eerste instantie op Duitsland, maar sinds Q1 van 2017 staat Amerika bovenaan de lijst van doelwitten, met 28% van de aanvallen.

"Deze geografische veranderingen in het mobiele ransomwarelandschap kunnen een indicatie zijn van de trend om aanvallen uit te breiden naar rijke, onvoorbereide, kwetsbare of nog niet eerder bereikte regio's. Dit betekent uiteraard dat gebruikers met name in deze landen uiterst voorzichtig moeten zijn bij het surfen op internet", waarschuwt Roman Unuchek, beveiligingsexpert bij Kaspersky Lab.

Andere bevindingen

Andere belangrijke bevindingen van het KSN rapport 2016-2017 zijn:

• Het totale aantal gebruikers dat tussen april 2016 en maart 2017 met ransomware te maken kreeg, steeg met 11,4% in vergelijking met de voorgaande 12 maanden (april 2015 t/m maart 2016) - van 2.315.931 tot 2.581.026 gebruikers wereldwijd;
• Het percentage gebruikers dat ten minste eenmaal werd geconfronteerd door ransomware ten opzichte van het totale aantal gebruikers dat door malware werd getroffen daalde met bijna 0,8 procentpunten, van 4,34% in 2015-2016 tot 3,88% in 2016-2017;
• Onder degenen die te maken kregen met ransomware steeg het aandeel dat werd geconfronteerd met cryptors met 13,6 procentpunten, van 31% in 2015-2016 tot 44,6% in 2016-2017;
• Het aantal met cryptors aangevallen gebruikers verdubbelde bijna, van 718.536 in 2015-2016 tot 1.152.299 in 2016-2017;
• De top 10 van landen met het grootste aandeel van door PC ransomware aangevallen gebruikers als percentage van alle via enige vorm van malware aangevallen gebruikers ziet er voor 2016-2017 als volgt uit: Turkije (bijna 8%), Vietnam (rond 7,5%), India (meer dan 7%), Italië (rond 6,6%), Bangladesh (meer dan 6%), Japan (bijna 6%), Iran (bijna 6%), Spanje (bijna 6%), Algerije (bijna 4%) en China (bijna 3,8%). Dit is een heel andere lijst dan die van 2015-2016, aangezien Turkije, Bangladesh, Iran, Japan en Spanje de top 10 hebben betreden, allen met meer dan 5%.

Advies

Om het risico op infectie te verkleinen, wordt gebruikers het volgende geadviseerd:

• Maak regelmatig een back-up van gegevens;
• Gebruik een betrouwbare beveiligingsoplossing en denk eraan om de belangrijkste functies - zoals System Watcher - ingeschakeld te houden;
• Houd software altijd bijgewerkt op alle gebruikte apparaten;
• Behandel e-mailbijlagen of berichten van onbekenden met de nodige voorzichtigheid. In geval van twijfel, niet openen;
• Geef als bedrijf ook voorlichting aan uw medewerkers en IT-teams; houd gevoelige data gescheiden, beperk de toegang en maak altijd overal een back-up van;
• Mocht u onverhoopt toch ten prooi vallen aan een encryptor, raak dan niet in paniek. Gebruik een niet-geïnfecteerd systeem om naar de No More Ransom website te gaan; de kans is aanwezig dat u hier een decryptietool vindt die u kan helpen uw bestanden terug te krijgen;
• De nieuwste versies van Kaspersky Lab-producten voor kleinere bedrijven zijn uitgebreid met anti-cryptomalware functionaliteit. Bovendien is een gratis anti-ransomware tool beschikbaar gesteld die alle bedrijven kunnen downloaden en gebruiken, ongeacht de beveiligingsoplossing die ze hebben geïnstalleerd;
• En niet te vergeten, bedenk dat het verspreiden van ransomware een strafbaar feit is. Meld het bij uw lokale wetshandhavingsinstantie.

Ga voor hulp en advies over het omgaan met ransomware naar No More Ransom. Kijk op No Ransom voor de nieuwste decryptors, hulpmiddelen om ransomware te verwijderen en informatie over bescherming tegen ransomware.

De volledige versie van Kaspersky Labs Malware Rapport is beschikbaar op Securelist.com.