Een beetje cybercrimineel schiet allang niet meer met een willekeurig schot hagel. We hebben nu te maken met regionale designer cyberdreigingen in lokale talen, merken en en met voor het land bekende betaalmethoden. Verder is ransomware vaker slim verborgen in persoonlijke, ‘klikbare’ spam. Dat is de conclusie van onderzoek van SophosLabs. Het onderzoek omvat onder meer informatie van miljoenen eindgebruikers wereldwijd.
Om meer mensen in hun aanvallen mee te slepen, leggen cybercriminelen zich toe op aangepaste spamtechnieken de berichten steeds geloofwaardiger overkomen. Zo is ransomware in toenemende mate vermomd als een echte mailnotificatie en voorzien van vervalste lokale logo’s. Hierdoor zijn nietsvermoedende individuen eerder geneigd dit aan te klikken en is het de crimineel die hierdoor aan het langste eind trekt. Om zo effectief mogelijk te zijn, doen deze mails zich voor als een lokaal postorderbedrijf, een belastingkantoor of juridische instelling. Deze mails worden vaak voorzien van nagemaakte verschepingsbonnen, terugstortingen, boetes voor te snel rijden of elektriciteitsrekeningen. Spam met perfecte zinnen zonder de eerder zo kenmerkende grammaticale fouten is bij de designer cyberdreigingen allang geen uitzondering meer.
“Je moet nu twee keer zo goed kijken om een namaak e-mail van een echte te onderscheiden”, zegt Chester Wisniewski, senior security advisor bij Sophos. “Behoedzaam zijn voor deze technieken in je eigen land is een belangrijk aspect van beveiliging.”
De onderzoekers zijn ook belangrijke trends in de nieuwste ransomware op het spoor gekomen waarbij specifieke locaties worden aangevallen. Versies van CryptoWall hebben voornamelijk toegeslagen in de VS, het Verenigd Koninkrijk, Canada, Australië, Duitsland en Frankrijk. TorrentLocker heeft voornamelijk schade aangericht in het Verenigd Koninkrijk, Italië, Australië en Spanje, terwijl TeslaCrypt zijn slag probeerde te slaan in het Verenigd Koninkrijk, de VS, Singapore en Thailand.
De analyses gaven ook de Threat Exposure Rates (TER)* aan voor landen in de eerste drie maanden van 2016. Ook al werden Westerse landen meer onder vuur genomen, toch hadden zij een lagere TER. De Benelux scoort hierin nog relatief hoog: Luxemburg (4.2 procent), België (4 procent) en Nederland (3.9 procent).
Landen met de laagste TER: Frankrijk (5,2 procent), Canada (4,6 procent), Australië (4,1 procent), de VS (3 procent) en het Verenigd Koninkrijk (2,8 procent). Algerije (30,7 procent), Bolivia (20,3 procent), Pakistan (19,9 procent), China (18,5 procent) en India (16,9 procent) telden het hoogste percentage eindgebruikers dat door een malware-aanval werd bestookt.
“Zelfs witwassen wordt lokaal toegepast en wordt zo lucratief. Afhandeling via creditcards kan voor criminelen riskant zijn, dus het is niet verwonderlijk dat zij nu anonieme betalingsmethodieken op het internet gebruiken om ransomwareslachtoffers te laten betalen,” vervolgt Wisniewski. “We hebben gezien dat cybercriminelen lokale, online cards gebruiken die gelijk staan aan contant geld. Maar ook maken ze gebruik van aankooplocaties zoals prepaid Green Dot MoneyPak-cards van Walgreens in de VS en Ukash vanuit verschillende retailwinkels in het Verenigd Koninkrijk.”
Het concept van het filteren van specifieke landen is ook als trend toegenomen.”Cybercriminelen programmeren aanvallen in een bepaalde taal om zo bepaalde landen te omzeilen”, zegt Wisniewski. “Dit kan om verschillende redenen gebeuren. Misschien willen deze criminelen geen aanvallen rondom het punt van lancering om zo opsporing te voorkomen. Het kan te maken hebben met nationale trots, of wellicht een samenzwerende ondertoon om zo een vermoeden over een land te creëren door het bij de aanval bewust weg te laten.”
