Trusselsindeks: Her er de ti største malwaretrusler i Danmark

Mængden af unik malware, der rammer danske it-brugere, stiger markant, viser sikkerhedsundersøgelse.

Mængden af unikke typer malware, der angriber danske virksomheder og brugere, er i hastig stigning. To måneder i streg har sikkerhedsfirmaet Check Point observeret en stor vækst i ny ondsindet kode, der fluktuere på danske pc’er og telefoner.

Alene i maj opdagede Check Point 2300 unikke og aktive typer af malware, der angreb virksomheders netværk, oplyser selskabet.

Læs også: Malware rettet mod virksomheder: 1 af 25 telefoner inficeret

»Organisationer bliver nødt til at overveje at tage avancerede foranstaltninger i brug i trusselsbekæmpelsen på netværk og mobile devices for at stoppe malwaren inden den når at inficere noget og sikre, at de er beskyttet mod de nyeste trusler,« siger Mårten Toll-Söderblom, Country Manager for Danmark, Check Point, i en meddelelse.

Til trods for de nye trusler, er der en række udbredte stykker malware, der dominerer trusselsbilledet. På baggrund af Check Points såkaldte ThreatCloudTm, der sporer cyberangreb i realtid, har selskabet samlet en liste over de ti største malware-trusler i Danmark på nuværende tidspunkt, hvad de gør, samt hvilke svagheder de udnytter.

Læs også: Sikkerhedsforsker: Energiforsyningen er hackernes nye mål

  • 1. DNSChanger: Backdoor malware der angriber Windows. Ændrer DNS indstillinger på den inficerede computer ved at erstatte den oprindelige server med skadelige DNS servere og åbner samtidig en bagdør for eksterne angreb.

  • 2. Zeroaccess: En Trojan, der anvender et avanceret rootkit til at skjule sig. Kan også oprette et skjult filsystem, downloade yderligere malware, ændre søgeresultater og åbne en bagdør ind til den inficerede computer. Zeroaccess anvendes i forbindelse med Bitcoin mining og kliksvindel og malware i denne familie kan downloade og køre andre filer, kontakte eksterne hosts og slå sikkerhedsfunktioner fra.

  • 3. Angler ek: Dukkede op i 2013 og er i dag det mest udbredte exploit kit. Fungerer ved at omdirigere trafikken i en browser til en landing page med korrumperet JavaScript, hvor Angler identificerer de største sårbarheder i plug-ins på den inficerede computer, som den forsøger at udnytte, hvor Flash er det program, der oftest udnyttes, sammen med Java, Silverlight, Acrobat og ældre udgaver af Internet Explorer.

Læs også: Beretning: To alvorlige cyberangreb mod Danmark i 2015 - det ene er hemmeligt

  • 4. Tinba: En bankrelateret Trojan, der primært angriber europæiske bankkunder. Tinba stjæler sit offers legitimationsoplysninger ved hjælp af web-injects, som aktiveres når brugeren forsøger at få forbindelse til sine konti gennem en af angrebne bankers website.

  • 5. Cryptodefense: En ransomware, som krypterer ikke-binære filer såsom dokumenter, billeder, videoer etc. Herefter viser den en tekstfil med instruktioner for, hvordan filerne kan dekrypteres mod betaling for at bruge dekrypteringsservicen. Cryptodefence får typisk adgang til computere via anden malware, som er blevet installeret på maskinen gennem browsing af et inficeret website.

  • 6. Zeus: Har eksisteret siden 2007 og er stadig en meget udbredt Windows Trojan, som typisk bruges til at stjæle bankinformationer. Når en maskine er kompromitteret sender malwaren informationer såsom legitimationsoplysninger på kontoindehaveren til hackerne. Cyberkriminelle bruger i dag Zeus i forskellige udgaver, som spredes via phishing.

Læs også: Sikkerhedsekspert: Pension af ransomware kan være forsøg på at manipulere malware-markedet

  • 7. Hackerdefender: Et rootkit til Windows 2000 og Windows XP. Modificerer API funktioner i bl.a. Windows, så den ikke bliver opdaget af sikkerhedssoftware. HackerDefender er nemt tilgængelig online og let at installere.

  • 8. Ponmocup: En Trojan, der angriber Windows platformen ved at ændre et inficeret systems hostfiler, der normalt skal forhindre adgang til populære websites for Torrent søgninger.

  • 9. Hummingbad: Malware, der etablerer genstridige rodnetværk på en enhed, installerer falske applikationer og tillader ondsindet aktivitet som fx at stjæle identifikationsoplysninger og trænge igennem virksomheders krypterede mailbokse.

Læs også: Selv børn kan lukke din forretning med ransomware

  • 10. Hotbar: En browser-highjacker og adware, der ændrer søgeindstilinger i browseren. Hotbar kan tracke brugerens web-aktivitet og overdrage informationen til en bagvedliggende server.

ThreatCloud databasen indeholder ifølge CheckPoint over 250 millioner adresser, der analyseres til at søge efter bots, mere end 11 millioner malware signaturer og over 5,5 millioner inficerede websites, hvor der hver dag identificeres millioner af forskellige typer malware.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Kruse

Hvornår er det trusselsindex fra??

1) DNSChanger - nedskudt siden 2014
2) Zeroaccess - kun v2 er aktiv
4) Tinba - ingen registreret aktivitet mod DK i target listerne?
6) ZeuS - hmm, der menes måske afarter af ZeuS??

Jeg er forvirret!

/Peter

  • 3
  • 0
Rune Jensen

Er Zeus ikke ligeså gammel som Storm. Denne siger at Zeus i hvert fald er tilbage fra 2010.

https://en.wikipedia.org/wiki/Zeus_(malware)

Jeg fik Storm i 2009. Det foregik ved, den kom ind via referrer spam til min hjemmeside. Og i hosterens log, der var referrers sat op, så de virkede som links. Det er ret genialt, er det ikke... Man åbner sin statistik fra trusted source, ser et link i en referrer, klikker på det, og det næste som sker er, at ens IP er banned world wide for spamming. Udover selvfølgelig, at computeren er locked selv for admin og anmodning om løsesum for at åbne den. Og alle de popups for penis enlargement...

Hvis referrer har en URL, som ender på mp3, så er den vel interessant nok til at åbne. Kun ganske få i DK var ramt dengang, jeg var en af de første.

Men det fik da lært mig kun at åbne ukendte referrers fra w3c HTML validator og netrenderer.de.

  • 1
  • 0
Martin Warming

Nr 8 :
"ved at ændre et inficeret systems hostfiler, der normalt skal forhindre adgang til populære websites for Torrent søgninger."
Så vores host fil altså til for at forhindre adgang til populære websites for Torrent søgninger ? Troede ellers den var til at mappe IP adresser til hostnames :)

  • 3
  • 0
Brian Hansen

Er Zeus ikke ligeså gammel som Storm. Denne siger at Zeus i hvert fald er tilbage fra 2010.


Deraf varianter :)
Dem jeg har reversed deler meget kode med ZeuS kittet, men de er custom nok til at flyve under radaren på f.eks. virustotal.
Den mest curiøse sag var da vi havde korrespondance fra afsenderen, da brugeren ikke kunne åbne den vedhæftede .exe fil :P
Malwaren snakkede med tre inficerede servere på danske domains, og et enkelt hosted i Atlanta med tilknytning til et firma i portugal.
Afleverede det hele til PET, da det virkede ret målrettet.
Et halv år senere dropper de sagen, da de vurderer der ikke er nok at gå efter... WTF? Jeg har serveret det hele på et sølvfad for dem :|

  • 3
  • 0
Mette Nikander

Aktuelt stof eller ej- vi er i agurketiden og hele denne artikel bærer præg af promovering af Checkpoint og jeg kunne efterhånden godt savne at journalisterne laver journalistisk arbejde og ikke blot gengiver de pressemeddelelser der strømmer ind ad døren fra de større producenter, der iøvrigt pudsigt nok også lægger den største andel annoncepenge. Det må da være sjovere at være journalist, hvis man faktisk selv skal indsamle informationer, skrive stoffet og være meningsdanner....??

Med venlig hilsen
Mette Nikander/C-cure.dk

  • 2
  • 0
Mogens Bluhme

Hej Mette og Peter

Checkpoint har baseret sine konklusioner på empiske data. Og sandheden er desværre, at mange danske virksomheder stadig rammes af CVE'ere, der er 2-3 år gamle. Men jeg er enig i, at version2.dk burde have haft den kontekst med i stedet for et replay af Checkpoints marketingsfolk. Man kan ikke forvente at et kommercielt firma som Checkpoint ville sige : tag jer sammen og patch jeres systemer så behøver I knap så meget af vores avancerede sikkerhed. Den vinkling burde version2's redaktion måske have tilføjet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere