Steeds meer ransomware is gericht op Android-, Linux- en MacOS-systemen

Ransomware is in de afgelopen zes maanden voornamelijk gericht geweest op Windows-systemen. Andere besturingssystemen zoals Android, Linux en MacOS zijn echter niet immuun. Zo is 30,4% van alle Android malware inmiddels ransomware.

Dit meldt Sophos in het SophosLabs 2018 Malware Forecast-rapport. "Ransomware is platformonafhankelijk en richt zich voornamelijk op Windows-computers, maar dit jaar zag SophosLabs een toenemend aantal crypto-aanvallen op verschillende apparaten en besturingssystemen die wereldwijd door onze klanten worden gebruikt", zegt Dorka Palotay, beveiligingsonderzoeker van SophosLabs en medewerker aan de ransomware-analyse in de SophosLabs 2018 Malware prognose.

WannaCry was meest voorkomende ransomware

Het rapport volgt ook de groeipatronen van ransomware, wat aangeeft dat WannaCry, dat in mei 2017 van zich liet spreken, de meest voorkomende ransomware was die werd onderschept door klantcomputers en hiermee Cerber van de troon stootte die begin 2016 verscheen. WannaCry was goed voor 45,3 procent van alle ransomware die via SophosLabs werd opgespoord; Cerber neemt 44,2 procent voor van de ransomware voor zijn rekening.

"Voor de eerste keer zagen we ransomware met wormachtige kenmerken die hebben bijgedragen aan de snelle uitbraak van WannaCry. Deze ransomware maakte gebruik van een bekende Windows-kwetsbaarheid en kon zich zo via computers verspreiden, waardoor het moeilijk te controleren was," zegt Palotay. "Hoewel onze klanten ertegen worden beschermd en WannaCry inmiddels is afgenomen, zien we de dreiging nog steeds vanwege de aard van ransomware om computers te blijven scannen en aan te vallen. We verwachten dat cybercriminelen zullen voortbouwen op het gedachtengoed van WannaCry en NotPetya. Dit is al duidelijk bij de Bad Rabbit-ransomwarevariant die veel overeenkomsten vertoont met NotPetya.”

Motief achter NotPetya blijft onduidelijk

The SophosLabs 2018 Malware Forecast rapporteert over de opkomst en ondergang van NotPetya, de ransomwarevariant die in juni 2017 ravage veroorzaakte. NotPetya werd oorspronkelijk gedistribueerd via een Oekraïens boekhoudsoftwarepakket, waardoor de geografische impact beperkt bleef. Het was in staat om zich, net als WannaCry, via EternalBlue te verspreiden. Maar omdat WannaCry reeds de meest blootgestelde machines had geïnfecteerd, waren er nog maar weinigen die kwetsbaar waren. Het motief achter NotPetya is nog steeds onduidelijk omdat er veel misstappen en fouten met deze aanval te paard gingen.

"NotPetya verraste enorm en richtte bij bedrijven veel ellende aan omdat het permanent gegevens op getroffen computers heeft vernietigd. Gelukkig stopte NotPetya bijna net zo snel als het begon. We vermoeden dat de cybercriminelen aan het experimenteren waren of dat hun doel niet ransomware was, maar iets destructiever als het wissen van data. Ongeacht de intentie raadt Sophos ten zeerste af om voor ransomware te betalen en beveelt best practices in plaats daarvan: denk daarbij aan het maken van back-ups en het up-to-date houden van patches.”

Cerber blijft gevaarlijk

Cerber, verkocht op het Dark Web, blijft een gevaarlijke bedreiging. De Cerber-makers werken de code voortdurend bij en waarbij ze een percentage vragen van het losgeld dat de middle men van slachtoffers ontvangen. Nieuwe features maken Cerber niet alleen een effectief aanvalsinstrument, maar ook beschikbaar voor cybercriminelen. "Dit Dark Web-bedrijfsmodel werkt helaas en zorgt voor een continue ontwikkeling van Cerber. We kunnen aannemen dat de winst de auteurs motiveert om de code te handhaven", vult Palotay aan.

Android-ransomware trekt ook cybercriminelen aan. Volgens de analyse van SophosLabs is het aantal aanvallen op Sophos-gebruikers die Android-apparaten gebruiken in 2017 bijna elke maand toegenomen.

‘Makkelijk inkomstenbron voor cybercriminelen’

"In september alleen al was 30,4 procent van de schadelijke Android-malware die door SophosLabs werd verwerkt ransomware. We verwachten dat dit in oktober naar ongeveer 45 procent zal stijgen", zegt Rowland Yu, van SophosLabs. "Een van de redenen waarom we geloven dat ransomware op Android van de grond komt, is omdat cybercriminelen gemakkelijk geld kunnen verdienen in plaats van contacten en sms-berichten te stelen, pop-upadvertenties of phishing van banken die geavanceerde hacktechnieken vereisen. Het is belangrijk op te merken dat Android ransomware voornamelijk wordt ontdekt in niet-Google Play-markten. Dit is een andere reden voor gebruikers om zeer voorzichtig te zijn over welke apps ze downloaden."

Het SophosLabs-rapport geeft verder aan dat er twee soorten Android-aanvalsmethoden zijn ontstaan: het vergrendelen van de telefoon zonder gegevens te versleutelen en de telefoon vergrendelen terwijl de gegevens worden versleuteld. De meeste ransomware op Android versleutelt gebruikersgegevens niet, maar ​​schermvergrendeling in ruil voor geld is genoeg om nietsvermoedenden te frusteren. "Sophos raadt aan regelmatig een back-up van je telefoon te maken om zo gegevens te bewaren en te voorkomen dat je losgeld moet betalen. We verwachten dat ransomware voor Android het komende jaar zal blijven toenemen en domineren als het voornaamste type malware op dit mobiele platform", sluit Yu af.