Distributie netwerk Shnakule malware strikt 51.000 slachtoffers per dag

14-07-2011

Rapport identificeert de tien grootste distributienetwerken voor malware en onderzoekt malware ecosystemen in halfjaarlijks rapport over internetbevei

Blue Coat Systems, Inc. (Nasdaq: BCSI), technologieleider op het gebied van internetbeveiliging en WAN-optimalisatie, heeft het halfjaarlijkse rapport over internetbeveiliging in de eerste zes maanden van 2011 gepubliceerd. In het 2011 Mid-Year Web Security Report, beschrijft Blue Coat de bevindingen van een onderzoek naar internetgebaseerde malware ecosystemen, inclusief de tien grootste distributienetwerken voor malware. Deze netwerken worden meestal gehost over meerdere websites en zijn verantwoordelijk voor het lanceren van dynamische aanvallen op argeloze gebruikers. Het rapport onderzoekt de interactie van de online malware ecosystemen, waaronder gebruikersgedrag, hosting sites en distributienetwerken.

In de eerste helvan 2011 was Shnakule het belangrijkste distributienetwerk voor malware, zowel qua omvang als qua doeltreffendheid. Dit ft netwerk gebruikte tijdens deze periode gemiddeld 2.000 unieke hostnamen per dag, met een piek van dagelijks ruim 4.300. Het bleek ook zeer bedreven in het lokken van gebruikers, met gemiddeld ruim 21.000 verzoeken en soms zelfs 51.000 verzoeken op één dag. Shnakule is een breed opgezet distributienetwerk voor malware wiens kwaadaardige activiteiten onder meer bestaan uit drive-by downloads, namaaksites voor antivirusoplossingen en codecs, namaaksites voor Flash- en Firefox-updates, namaaksites voor warez en botnet/command and controls. Daar aan verwante activiteiten zijn onder meer sites voor porno, gokken, medicijnen, link farming (een groep van sites die allemaal naar elkaar verwijzen) en aanbiedingen om ‘snel rijk te worden’ met thuiswerk.

Shnakule heeft niet alleen een enorme reikwijdte, maar is tevens een op zichzelf staand distributienetwerk voor malware. Het bestaat ook uit een groot aantal onderliggende distributienetwerken. Ishabor, Kulerib, Rabricote en Albircpana, die allen in de top 10 van grootste distributienetwerken voor malware staan, zijn eigenlijk onderdeel van Shnakule. Robbert Verdonk, Key Account Manager Benelux van Blue Coat Systems: “Online malware is zo dynamisch geworden dat het bijna onmogelijk is om ieder gebruiker met traditionele verdedigingstechnieken te beschermen tegen iedere nieuwe aanval. Met een volledig zicht op het online ecosysteem kunnen de oplossingen voor internetbeveiliging van Blue Coat malwarenetwerken identificeren en volgen om klanten proactief te beschermen tegen nieuwe aanvallen die deze netwerken proberen te lanceren.”

Het halfjaarlijkse rapport over internetbeveiliging van Blue Coat analyseert ook hoe en waar gebruikers op internet in aanraking komen met de distributienetwerken voor malware. In de eerste helft van 2011 was het ‘vergiftigen’ van zoekmachines de meest populaire methode. In bijna 40 procent van alle incidenten waarin malware een rol speelde waren zoekmachines en –portals het toegangspunt tot de distributienetwerken. Het is daarom niet verrassend dat zoekmachines en –portals ook de meest bezochte websites waren tijdens deze periode. Sociale netwerken stonden in het eerste halfjaar op de vijfde plek als meest populaire toegangspunt tot distributienetwerken voor malware en op de derde plek qua meest bezochte websites.

Cybercriminelen richten de pijlen meestal op die plekken waar gebruikers de meeste tijd doorbrengen, zoals het geval is bij zoekmachines en sociale netwerken. In de eerste helft van 2011 gebruikten zijn echter ook traditionele methoden zoals e-mail en porno. E-mail staat derde in de lijst van populaire internetcategorieën die ingezet worden om gebruikers naar malwarenetwerken te leiden. E-mail staat echter pas op de 17de plaats van meest bezochte websites. Porno, al heel lang een favoriet doel van malware, is de vierde meest populaire categorie om gebruikers naar malware te lokken, hoewel het slechts op de 20ste plek staat van meest bezochte websites.

Na het analyseren van het dynamische en onderling verbonden karakter van online malware ecosystemen, concludeert Blue Coat in het halfjaarlijkse rapport over internetbeveiliging dat:
•             Het hosten van malware komt vaak voor in categorieën zoals online opslag en softwaredownloads, die bedrijven meestal toestaan binnen de beleidsregels voor veilig internetgebruik.
•             Bedrijven zouden pornosites, plaatshouders, phishing, hacking, online games en illegale/verdachte content consequent moeten blokkeren binnen het beleid voor veilig internetgebruik.
•             Het zoeken naar afbeeldingen en geplagieerde media staat bovenaan in de lijst van mogelijke malwaredistributie en gebruikers die zich hiermee bezig houden zijn uiterst kwetsbaar.
•             Een enkele verdedigingslinie, zoals een firewall of antivirussoftware, biedt onvoldoende bescherming tegen het dynamische karakter van malware en de uitgebreide infrastructuur van distributienetwerken voor malware. Dat vraagt om real-time bescherming en informatie die een online internetverdediging kan bieden omdat het zich continu uitbreidt en aanpast op nieuwe bedreigingen.

De gegevens in het rapport zijn afkomstig van de ‘cloud defence community’ van Blue Coat WebPulse, en werden geanalyseerd door Blue Coat Security Labs. WebPulse verbindt ruim 75 miljoen gebruikers in een real-time internetverdediging en biedt een volledig zicht op internet ecosystemen door het beoordelen en analyseren van circa 3 miljard real-time URL-aanvragen per week. Dankzij dit zicht op internet kan WebPulse distributienetwerken voor malware in kaart brengen en de dynamische lokmiddelen verbinden met distributiepaden en dynamische content om gebruikers zodoende direct te beschermen tegen nieuwe en opkomende bedreigingen.
WebPulse voorziet in opvraagbare informatie voor het portfolio aan oplossingen voor internetbeveiliging van Blue Coat, inclusief de Secure Web Gateway-oplossing en de Blue Coat Cloud Service. WebPulse biedt als enige bescherming tegen malwaredownloads, (gerichte) phishing-aanvallen en kwaadaardig ‘call-home’-verkeer van systemen die door botnets geïnfecteerd zijn.

 

My Marqit

Registreer je gratis voor de volgende voordelen:

  • Kosteloos toegang tot alle informatie
  • Onbeperkt downloaden van whitepapers
  • Altijd up-to-date via de Marqit nieuwsbrieven
E-mailadres
Wachtwoord
Wachtwoord [vergeten?]