Sikkerhedsforskere har fjernet 100.000 malware-websteder i løbet af de sidste ti måneder

  • Oct 30, 2023

Langt de fleste malware-links hostede nyttelaster for Emotet- og Gozi-trojanske heste og GandCrab-ransomwaren.

I løbet af de sidste ti måneder har sikkerhedsforskere indgivet misbrugsrapporter til webhostingudbydere og har fjernet dem næsten 100.000 URL'er, der blev brugt til at distribuere malware, sagde i dag Abuse.ch, en non-profit cybersikkerhed organisation.

Disse koordinerede indsatser var en del af URLhaus initiativ som Abuse.ch lancerede i marts 2018, og hvis primære mål er at indsamle og dele webadresser om aktive malware-kampagner, så informationssikkerhedssamfundet (infosec) kan gribe ind ved at sortliste eller fjerne URL'er.

I en rapport offentliggjort i dag, siger Abuse.ch, at URLhaus-projektet har været en bragende succes, hvor 265 sikkerhedsforskere har delt URL'er og indsendt misbrugsrapporter til webhostingudbydere i løbet af det seneste år.

Tillykke til @zbetcheckin for at rapportere den 100.000. malware-URL til URLhaus! 🥳🎉💪 pic.twitter.com/U5MHjyWNpj

— abuse.ch (@abuse_ch) 19. januar 2019

Organisationen siger, at forskere delte mellem 4.000 og 5.000 aktive malware-distributionssider om dagen og indgav hundredvis af misbrugsrapporter i processen.

Billede: Abuse.ch

Men mens Abuse.ch bemærkede, at "URLhaus [...] formåede at få opmærksomhed fra mange hostingudbydere", er der stadig meget arbejde at gøre, da mange webhostingudbydere stadig er meget langsomme til at reagere på misbrug klager.

Endvidere viser tal, at den gennemsnitlige svartid ser ud til at være steget i forhold til sidste år. I en tidligere rapport offentliggjort i oktober 2018, sagde Abuse.ch, at webhostingudbydere tidligere tog 3 dage, 2 timer, og 33 minutter i gennemsnit til at reagere på misbrugsklager og fjerne malware, der er hostet på deres servere.

Men i dagens rapport bemærkede organisationen, at de seneste tal indikerer, at den gennemsnitlige nedtagningstid nu er steget til mere end en uge, til 8 dage, 10 timer og 24 minutter, hvilket giver malware-forfattere mere end nok tid til at inficere tusindvis af enheder hver dag.

Desuden er situationen kommet ud af kontrol i Kina - et af de mest populære lande til hosting af malware filer sammen med USA - hvor webhostingudbydere nu har en gennemsnitlig svartid på over 1 måned.

Længe leve Emotet, malware-kongen!

Hvad angår hvad de 265 sikkerhedsforskere har rapporteret mest i de sidste ti måneder, var svaret ikke en overraskelse. Af de 380.000 malware-prøver, som sikkerhedsforskere fandt hostet på nyoprettede eller hackede websteder, var den mest almindelige malware-familie Emotet (også kendt som Heodo), en multifacetteret malware-stamme, der blandt mange andre ting kan fungere som downloader til anden malware, en bagdør, en banktrojaner, en legitimationstyver eller en spambot.

Andre populære malware-stammer, som forskere opdagede og rapporterede, omfattede variationer af Gozi banktrojaner og installationsprogrammer til GandCrab, som er langt tidens mest udbredte ransomware stamme.

Billede: Abuse.ch

Fordi de fleste af nutidens e-mail-sikkerhedsscannere gør et godt stykke arbejde med at opdage ondsindede vedhæftede filer, fungerer de seneste e-mail-spamkampagner ikke, som de gjorde tidligere. I dag er mange spamkampagner skiftet fra at inkludere malware-nyttelasten i den vedhæftede fil til at tilføje et link indeni e-mail-teksten, der peger på et websted, hvorfra offeret bliver bedt om at downloade et ondsindet dokument eller malwarens installatør.

Desuden er det meste malware nu modulopbygget, og tilsyneladende godartede softwarekomponenter forbinder online og downloader malware hostet på legitime eller hackede websteder.

Dette er, hvad URLhaus-projektet har sporet i løbet af de sidste ti måneder, og bygget en database over alle disse nye malware-distributions-URL'er.

At have databaser med disse nyligt opdagede ondsindede links er afgørende for cybersikkerhedsfirmaer og private virksomheder, der ønsker at blackliste disse URL'er, før noget slemt sker.

Det optimale scenario ville være, hvis webhostingudbydere ville fjerne disse links, så snart de er rapporteret i URLhaus-databasen.

Men selv om der stadig er mange problemer, når det kommer til at få webhosts til at samarbejde, tage ned næsten 100.000 malware-URL'er med kun 265 forskere er noget af en bedrift for URLhaus' første år i eksistens.

Cyberkriminalitet og malware, 2019 forudsigelser

Mere sikkerhedsdækning:

  • Over 4 procent af alle Monero blev udvundet af malware botnets
  • Midlertidig rettelse tilgængelig for en af ​​de to Windows zero-days udgivet i december
  • Onlinebutikker for regeringer og multinationale selskaber hacket via ny sikkerhedsfejl
  • Websites kan stjæle browserdata via udvidelses-API'er
  • Annoncenetværk kompromitteret til at levere kreditkort stjælekode
  • Populært WordPress-plugin hacket af vred tidligere medarbejder
  • Twitter-beskeder til russisk cybersikkerhedsfirma hjalp NSA med at lække undersøgelse CNET
  • Marriott afslører databrud, der påvirker 500 millioner hotelgæster TechRepublic