Ingezonden persbericht
Persbericht
Symantec kondigt het MessageLabs Intelligence Report voor september en het derde kwartaal van 2009 aan:
Laatste onderzoek naar spam afkomstig van botnets wijst op een snelle groei en nieuwe spelers
CUPERTINO, Calif. (VS) - 29 september 2009 - Symantec Corp. (Nasdaq: SYMC) kondigde vandaag de publicatie van zijn MessageLabs Intelligence Report voor september en het derde kwartaal van 2009 aan. Een opmerkelijk resultaat van de analyse is dat 87,9% van alle spam nu afkomstig is van botnets. Een van de nieuwere botnets, Maazben, die sinds zijn ontstaan in mei van dit jaar snel is gegroeid, legt zich vooral toe op casinospam, terwijl Rustock, een van de oudste en grootste botnets, sinds juni in omvang is verdubbeld en spam uitstuurt volgens een voorspelbaar patroon.
Volgens MessageLabs Intelligence is de groei van Maazben de laatste maand versneld, van 0,5% van alle spam in augustus, tot 1,4% in september. Rustock is de grootste boosdoener voor wat het aantal bots betreft (zo'n 1,3 tot 1,9 miljoen), maar de spamproductie per bot ligt relatief laag. Rustock heeft ondertussen een voorspelbaar spampatroon aangenomen: het spamverkeer begint elke dag om 3 uur 's ochtends ET, bereikt een piek om 7 uur ET en valt stil om 19 uur. Dan volgt er acht uur rust, waarna het hele proces opnieuw begint. Rustock is de enige botnet met een regelmatige spamcyclus. Met 10% van alle spam is het tegelijk ook een van de meest dominante botnets. Zijn spampatroon laat bijgevolg sporen na in het dagelijkse totale spampatroon.
"Het voorbije jaar werden een aantal ISP's willens nillens van het internet gehaald omdat ze botnetactiviteiten hostten," verklaarde Paul Wood, MessageLabs Intelligence Senior Analyst bij Symantec. "Dit ondermijnde het vermogen van de gevestigde botnets zoals Cutwail, maar maakte tegelijk ook de weg vrij voor nieuwe botnets, zoals Maazben. Toch is zo'n verschuiving in botnetcapaciteit niet altijd het geval, omdat de botnettechnologie sinds eind 2008 ook is geëvolueerd. Bij de meest recente sluitingen van ISP's merken we dat de impact kleiner is geworden: het is nu nog maar een kwestie van uren in plaats van weken of maanden vóór de botnets hun vroegere capaciteit hebben herwonnen."
Na de sluiting van deze ISP's tijdens de voorbije drie maanden kregen twee andere botnets de kans om mee te dingen naar de titel van meest actieve botnet, die vroeger voor Cutwail was weggelegd. Grum, half zo groot als Rustock, maar verantwoordelijk voor 23,2% van alle spam, en Bobax, dat 15,7% van de spam voor zijn rekening neemt, zijn nu de meest actieve botnets voor spamdistributie. Vroeger produceerde Cutwail in zijn eentje 45,8% van de spam.
Nog in september bracht de analyse van MessageLabs Intelligence aan het licht dat de door ICANN in juni 2009 gerapporteerde daling van het domeintesten, de praktijk waarbij een domeinregistratie binnen een proefperiode van vijf dagen weer wordt geannuleerd, verantwoordelijk zou kunnen zijn voor een verschuiving in de kwaadwillige aard van websites. Domeinen die het grootste gevaar opleveren zijn nu eerder oudere besmette websites dan pas geregistreerde domeinen met een korte levensduur, zoals ongeveer een jaar geleden nog het geval was.
Een analyse van websites die uitsluitend worden opgericht om malware te verspreiden, toont aan dat "jonge" domeinen, die pas werden geregistreerd binnen een periode van drie maanden vóór ze worden geblokkeerd wegens het hosten van gevaarlijke content, klein in aantal zijn, maar de grote meerderheid ervan wordt geblokkeerd als kwaadwillige websites die met gevaarlijke content werden opgericht. 90% van de "jonge" domeinen wordt binnen 38 dagen na de registratie uitgeschakeld.
"Nu jonge domeinen hen minder operationele kansen bieden, hoeft het niet te verwonderen dat de cybercriminelen veel sneller domeinen registreren," verklaarde Wood. "Dit wijst erop dat de aanvallers hard hun best doen om nieuwe domeinen op te zetten en nieuwe websites te besmetten. Over het algemeen wijzigt de malware op deze websites niet snel en de hoeveelheid nieuwe malware bedraagt maar ongeveer één derde van het aantal kwaadwillige nieuwe domeinen."
Bovendien blijkt uit een analyse van oudere domeinen, die meer dan drie maanden geleden werden geregistreerd vóór werd ontdekt dat ze malware verspreiden, dat de overgrote meerderheid (90%) van deze websites na 138 dagen uit de lucht wordt genomen, dus veel later dan hun jonge soortgenoten. MessageLabs Intelligence ontdekte dat 80% van alle domeinen die nu wegens schadelijke activiteiten worden geblokkeerd, in feite legitieme, maar besmette websites zijn.
"Cybercriminelen hebben er meer voordeel bij om een legitieme website te besmetten dan om nieuwe, gespecialiseerde domeinen op te zetten met de bedoeling om malware te verspreiden," verklaarde Wood. "Ze hebben minder werk met legitieme websites en de malware heeft een langere levensduur. Door gebruik te maken van de Add Grace Period, een methode die spammers in staat stelt om een domein gratis te registreren en na vijf dagen weer te annuleren, hebben cybercriminelen het domeintesten tot een gewone praktijk gemaakt. Ze kunnen zo handig misbruik maken van het systeem zonder ook maar iets te betalen voor de malwaredistributie."
Andere opmerkelijke bevindingen van het rapport:
Spam: In september 2009 bedroeg het totale spampercentage afkomstig van nieuwe en voordien onbekende kwaadwillige bronnen 86,4% (1 op 1,2 e-mails). Dit is een daling met 2,1% sinds augustus. Het spamniveau tijdens het derde kwartaal bedroeg gemiddeld 88,1%, te vergelijken met 81,0% in het derde kwartaal van 2008.
Virussen: Gemiddeld zat er in september een virus in één op 399,2 e-mails (0,25%) in het e-mailverkeer afkomstig van nieuwe en voordien onbekende kwaadwillige bronnen, een daling met 0,09% sinds augustus. In september bevatte 39,8% van via e-mails verspreide malware een link naar criminele websites, een toename met 22% sinds augustus. Via e-mail verspreide malware haalde in het derde kwartaal van 2009 een gemiddelde van 1 op 330,3 e-mails, terwijl dit in het derde kwartaal van 2008 nog 1 op 122,5 was.
Phishing: In september was de phishingactiviteit 1 op 437,1 e-mails (0,23%), een stijging met 0,06% sinds augustus. In verhouding tot het totaal aantal bedreigingen via e-mail (dus ook inclusief virussen en trojan-aanvallen) is het aantal phishing-e-mails met 11,1% gedaald tot 75,8% van alle malware in e-mails die in september werd onderschept. Tijdens het derde kwartaal van 2009 bedroeg het phisingniveau 1 op 368,6, terwijl dit in dezelfde periode van 2008 nog 1 op 330,5 was.
Veiligheid op het web: Uit analyse van de webbeveiligingsactiviteiten blijkt dat 12,3% van alle in september onderschepte malware op het web nieuw was, een stijging met 0,4% sinds augustus. MessageLabs Intelligence ontdekte per dag ook gemiddeld 2.337 nieuwe websites die malware en andere potentieel ongewenste programma's zoals spyware en adware herbergen. Dit is een daling met 33,4% sinds augustus.
Geografische trends:
· Denemarken was in september het meest gespamde land, met 95,6% van alle e-mail.
· In de Verenigde Staten steeg het spamniveau tot 91,8% en in Canada tot 91,2%. Het spamniveau in het Verenigd Koninkrijk nam toe tot 91,7%.
· De sterkste stijging deed zich voor in Zweden, waar het spamniveau met 7,2% steeg tot 89,6%. Nederland haalde een spamniveau van 91,9%, Oostenrijk bleef ongewijzigd op 90,7%, Hong Kong haalde 93,4% en in Japan bedroeg het spamniveau 89,4%.
· De virusactiviteit nam in Zwitserland toe met 0,08%, de grootste stijging van alle landen. Zwitserland voert hiermee in september de tabel van de virusactiviteit aan.
· In de Verenigde Staten bedroeg het virusniveau 1 op 552,5 en in Canada 1 op 393,8. In Duitsland bedroeg het 1 op 358,5, in Nederland 1 op 666,2, in Australië 1 op 626,5, in Hong Kong 1 op 328,7 en in Japan 1 op 552,0.
· Zwitserland was het meest actieve land voor phishingaanvallen, met 1 op 246,4 e-mails, op de voet gevolgd door het Verenigd Koninkrijk met 1 op 252,3.
Verticale trends:
· In september was Engineering met een spamniveau van 94,7% de meest gespamde sector.
· Het spamniveau bedroeg 93,8% in het Onderwijs, 92% in de sector Chemie & Farmaceutica, 92,2% bij Retail, 90,6% bij de Overheid en 90,6% in de Financiële sector.
· De virusactiviteiten in het Onderwijs daalden weliswaar met 0,36%, maar deze sector blijft in september de tabel aanvoeren, met 1 op 209,7 e-mails geïnfecteerd.
· Het virusniveau in de sector Chemie & Farmaceutica bedroeg 1 op 288,2, in de sector van de IT Services was dit 1 op 346,4, bij Retail 1 op 682,0, bij de Overheid 1 op 262,2 en in de Financiële Sector 1 op 579,2.
Het MessageLabs Intelligence Report voor september 2009 bevat meer informatie over alle bovenstaande trends en cijfers en meer gedetailleerde geografische en verticale trends. Raadpleeg hier het volledige rapport: http://www.messagelabs.com/intelligence.aspx
MessageLabs Intelligence van Symantec is een gezaghebbende bron van gegevens, analyses, trends en statistieken op het gebied van de e-mailbeveiliging. MessageLabs Intelligence levert uitgebreide informatie over wereldwijde gevaren voor het e-mailverkeer op basis van actuele gegevens afkomstig van onze controlecentra over de hele wereld. Elke week worden miljarden berichten gescand op bedreigingen.
Over Symantec
Symantec is wereldwijd leider in infrastructuursoftware die bedrijven en consumenten meer vertrouwen geeft in de huidige wereld van het internet. Het bedrijf helpt klanten bij de beveiliging van hun infrastructuur, informatie en interacties door middel van software en services die een oplossing bieden voor de risico's van beveiliging, beschikbaarheid, IT-naleving en -prestaties. Het hoofdkantoor van Symantec is gevestigd in Cupertino, Californië en het bedrijf heeft vestigingen in 40 landen. Meer informatie op: www.symantec.com
###
NOTA VOOR REDACTEURS: U vindt meer informatie over Symantec Corporation en zijn producten op deze pagina's voor de pers: http://www.symantec.com/news. Prijzen zijn steeds uitgedrukt in US dollars en uitsluitend geldig in de Verenigde Staten.
Symantec en het Symantec-logo zijn handelsmerken of gedeponeerde handelsmerken van Symantec Corporation of zijn filialen in de Verenigde Staten en andere landen. Andere namen kunnen gedeponeerde handelsmerken van hun respectieve eigenaars zijn.
Ingezonden persbericht