Malware, een samenvoeging van ‘kwaadaardige software’, verwijst naar alle software, code of computerprogramma’s die opzettelijk zijn ontworpen om schade toe te brengen aan een computersysteem of de gebruikers ervan. Vrijwel elke moderne Cyber ​​aanval er is sprake van een of andere vorm van malware. Deze schadelijke programma's kunnen in ernst variëren van zeer destructief tot kostbaar (ransomware) tot louter vervelend, maar verder onschadelijk (adware).

Elk jaarzijn er miljarden malware-aanvallen op bedrijven en individuen. Malware kan elk type apparaat of besturingssysteem infecteren, inclusief Windows, Mac, iPhone en Android.

Cybercriminelen ontwikkelen en gebruiken malware om:

• Houd apparaten, gegevens of bedrijfsnetwerken gegijzeld voor grote sommen geld
• Verkrijg ongeautoriseerde toegang tot gevoelige gegevens of digitale activa
• Steel inloggegevens, creditcardnummers, intellectueel eigendom, persoonlijk identificeerbare informatie (PII) of andere waardevolle informatie
• Ontwricht kritieke systemen waar bedrijven en overheidsinstanties op vertrouwen

Hoewel de woorden vaak door elkaar worden gebruikt, zijn niet alle soorten malware noodzakelijkerwijs virussen. Malware is de overkoepelende term die talloze soorten bedreigingen beschrijft, zoals:

virussen: Een computervirus wordt gedefinieerd als een kwaadaardig programma dat zich niet kan vermenigvuldigen zonder menselijke tussenkomst, hetzij door op een link te klikken, een bijlage te downloaden, een specifieke toepassing te starten of door diverse andere acties.

Worms: Wormen zijn in wezen een zichzelf vermenigvuldigend virus en vereisen geen menselijke tussenkomst om zich te verspreiden, diep in verschillende computersystemen te tunnelen en zich tussen apparaten te verplaatsen.

botnets: Een netwerk van geïnfecteerde computers onder controle van één enkele aanvaller, bekend als de ‘bot-herder’, die samenwerkt.

ransomware: Een van de gevaarlijkste soorten malware, ransomware-aanvallen, nemen de controle over kritieke computersystemen of gevoelige gegevens over, waardoor gebruikers buitengesloten worden en exorbitante losgelden in cryptocurrency zoals Bitcoin nodig zijn in ruil voor herwonnen toegang. Ransomware blijft tegenwoordig een van de gevaarlijkste vormen van cyberdreigingen. 

Multi-afpersing-ransomware: Alsof ransomware-aanvallen nog niet bedreigend genoeg zijn, voegt multi-afpersing-ransomware extra lagen toe om verdere schade aan te richten of extra druk uit te oefenen op de slachtoffers om te capituleren. In het geval van ransomware-aanvallen met dubbele afpersing wordt malware niet alleen gebruikt om de gegevens van het slachtoffer te versleutelen, maar ook om gevoelige bestanden, zoals klantinformatie, te exfiltreren, die aanvallers vervolgens dreigen publiekelijk vrij te geven. Drievoudige afpersingsaanvallen gaan zelfs nog verder, met bedreigingen om kritieke systemen te ontwrichten of de destructieve aanval uit te breiden naar de klanten of contacten van een slachtoffer. 

Macrovirussen: Macro's zijn commandoreeksen die doorgaans in grotere applicaties zijn ingebouwd om eenvoudige taken snel te automatiseren. Macrovirussen profiteren van programmatische macro's door schadelijke software in te sluiten in toepassingsbestanden die worden uitgevoerd wanneer het overeenkomstige programma door de gebruiker wordt geopend.

Trojaanse paarden: Trojaanse paarden, genoemd naar het beroemde Trojaanse paard, vermommen zichzelf als nuttige programma's of verbergen zich in legitieme software om gebruikers te misleiden om ze te installeren.

spyware: Spyware is gebruikelijk bij digitale spionage en verbergt zich in een geïnfecteerd systeem om in het geheim gevoelige informatie te verzamelen en deze terug te sturen naar een aanvaller.

adware: Adware wordt als grotendeels onschadelijk beschouwd en wordt doorgaans aangetroffen in een bundel met gratis software en spamt gebruikers met ongewenste pop-ups of andere advertenties. Sommige adware kan echter persoonlijke gegevens verzamelen of webbrowsers omleiden naar kwaadaardige websites.

Wortelkit: Een type malwarepakket waarmee hackers geprivilegieerde toegang op beheerdersniveau kunnen verkrijgen tot het besturingssysteem van een computer of andere activa. 

Mijlpalen in malware 

Vanwege het enorme volume en de verscheidenheid zou een volledige geschiedenis van malware behoorlijk lang zijn. In plaats daarvan volgt hier een blik op enkele beruchte momenten in de evolutie van malware.

1966: Theoretische malware

Terwijl de allereerste moderne computers werden gebouwd, ontwikkelde de baanbrekende wiskundige en medewerker van het Manhattan Project, John von Neumann, het concept van een programma dat zichzelf door een systeem kon reproduceren en verspreiden. Postuum gepubliceerd in 1966, zijn werk, Theorie van zelfreproducerende automaten, dient als de theoretische basis voor computervirussen.

1971: Creeper-worm

Slechts vijf jaar nadat het theoretische werk van John von Neumann was gepubliceerd, creëerde een programmeur met de naam Bob Thomas een experimenteel programma genaamd Creeper, ontworpen om tussen verschillende computers op de computer te bewegen. ARPANET, een voorloper van het moderne internet. Zijn collega Ray Tomlinson, die wordt beschouwd als de uitvinder van e-mail, heeft het Creeper-programma aangepast zodat het niet alleen tussen computers kan bewegen, maar zichzelf ook van de ene naar de andere kan kopiëren. Zo werd de eerste computerworm geboren.

Hoewel Creeper het eerste bekende voorbeeld van een worm is, is het eigenlijk geen malware. Als proof of concept is Creeper niet gemaakt met kwade bedoelingen en heeft het de systemen die het besmette niet beschadigd of verstoord. In plaats daarvan werd alleen de grillige boodschap weergegeven: "IK BEN DE CREEPER: VANG ME ALS JE KAN." Tomlinson ging zijn eigen uitdaging aan en creëerde het jaar daarop ook Reaper, de eerste antivirussoftware die was ontworpen om Creeper te verwijderen door op dezelfde manier over het ARPANET te bewegen.

1982: Elk Cloner-virus

Het Elk Cloner-programma, ontwikkeld door Rich Skrenta toen hij nog maar 15 jaar oud was, was bedoeld als een grap. Als lid van de computerclub van zijn middelbare school stond Skranta onder zijn vrienden bekend om het veranderen van de spellen en andere software die door de clubleden werd gedeeld - tot het punt dat veel leden weigerden een schijf van de bekende grappenmaker te accepteren.

In een poging de software te wijzigen van schijven waartoe hij niet rechtstreeks toegang had, vond Skranta het eerste bekende virus voor Apple-computers uit. Wat we nu een bootsectorvirus zouden noemen, verspreidde Elk Cloner zich door het Apple DOS 3.3-besturingssysteem te infecteren en zodra het van een geïnfecteerde diskette werd overgebracht, kopieerde het zichzelf naar het geheugen van de computer. Wanneer later een niet-geïnfecteerde schijf in de computer werd geplaatst, kopieerde Elk Cloner zichzelf naar die schijf en verspreidde zich snel onder de meeste vrienden van Skrata. Hoewel hij opzettelijk kwaadaardig was, kon Elk Cloner onbedoeld sommige diskettes overschrijven en wissen. Het bevatte ook een poëtische boodschap die luidde:

ELK CLONER:

HET PROGRAMMA MET PERSOONLIJKHEID

HET ZAL OP AL UW SCHIJVEN STAAN

HET ZAL UW CHIPS INFILTREREN

JA HET IS CLONER!

HET BLIJFT AAN JE ZOALS LIJM

HET ZAL OOK RAM WIJZIGEN

STUUR DE KLONER IN!

1986: Hersenvirus

Hoewel de Creeper-worm zich tussen computers op het ARPANET kon verplaatsen, werd vóór de wijdverbreide adoptie van internet de meeste malware doorgegeven via diskettes zoals Elk Cloner. Hoewel de effecten van Elk Cloner beperkt bleven tot één kleine computerclub, verspreidde het Brain-virus zich echter over de hele wereld.

Brain, gemaakt door Pakistaanse distributeurs van medische software en de broers Amjad en Basit Farooq Alvi, wordt beschouwd als het eerste virus voor de IBM Personal Computer en werd aanvankelijk ontwikkeld om inbreuk op het auteursrecht te voorkomen. Het virus was bedoeld om te voorkomen dat gebruikers gekopieerde versies van hun software zouden gebruiken. Na installatie zou Brain een bericht weergeven waarin piraten werden gevraagd de broers te bellen om de vaccinatie te ontvangen. Omdat ze onderschatten hoe wijdverspreid hun piraterijprobleem was, ontvingen de Alvis hun eerste telefoontje uit de Verenigde Staten, gevolgd door nog veel meer van over de hele wereld.

1988: Morris-worm

De Morris-worm is een andere malwarevoorloper die niet met kwaadaardige bedoelingen is gemaakt, maar als proof-of-concept. Helaas voor de maker, MIT-student Robert Morris, bleek de worm veel effectiever te zijn dan hij had verwacht. Destijds hadden slechts ongeveer 60,000 computers toegang tot internet, vooral op universiteiten en binnen het leger. Ontworpen om een ​​achterdeur op Unix-systemen te exploiteren en verborgen te blijven, verspreidde de worm zich snel, kopieerde zichzelf keer op keer en infecteerde maar liefst 10% van alle netwerkcomputers.

Omdat de worm zichzelf niet alleen naar andere computers kopieerde, maar zichzelf ook herhaaldelijk kopieerde op geïnfecteerde computers, nam hij onbedoeld geheugen in beslag en bracht hij meerdere pc's tot stilstand. Als 's werelds eerste wijdverbreide internet-cyberaanval veroorzaakte het incident schade die volgens sommige schattingen in de miljoenen liep. Voor zijn aandeel daarin was Robert Morris de eerste cybercrimineel die ooit in de Verenigde Staten werd veroordeeld voor cyberfraude. 

1999: Melissa-worm

Hoewel niet zo schadelijk als de Morris-worm, liet Melissa ongeveer tien jaar later zien hoe snel malware zich via e-mail kan verspreiden en naar schatting een miljoen e-mailaccounts en minstens 100,000 werkplekcomputers kan besmetten. De worm was voor die tijd de snelst verspreidende worm en veroorzaakte grote overbelastingen op de e-mailservers van Microsoft Outlook en Microsoft Exchange, wat resulteerde in vertragingen bij meer dan 300 bedrijven en overheidsinstanties, waaronder Microsoft, het Computer Emergency Response Team van het Pentagon en ongeveer 250 andere organisaties.

2000: ILOVEYOU-virus 

Noodzaak was de moeder van de uitvinding. Toen de 24-jarige Filippijnse inwoner Onel de Guzman merkte dat hij zich geen inbelinternetdienst kon veroorloven, bouwde hij een macrovirusworm die de wachtwoorden van anderen zou stelen, waardoor ILOVEYOU het eerste belangrijke stuk regelrechte malware werd. De aanval is daar een vroeg voorbeeld van social engineering en Phishing. De Guzman gebruikte psychologie om de nieuwsgierigheid van mensen te bevredigen en hen te manipuleren om kwaadaardige e-mailbijlagen te downloaden, vermomd als liefdesbrieven. “Ik kwam erachter dat veel mensen een vriendje willen, ze willen elkaar, ze willen liefde”, zei De Guzman. 

Eenmaal geïnfecteerd deed de worm meer dan het stelen van wachtwoorden. Hij verwijderde ook bestanden en veroorzaakte miljoenen schade, en legde zelfs het computersysteem van het Britse parlement voor een korte periode stil. Hoewel De Guzman werd opgepakt en gearresteerd, werden alle aanklachten ingetrokken omdat hij feitelijk geen lokale wetten had overtreden.

2004: Mydoom-worm

Net als ILOVEYOU gebruikte de Mydoom-worm ook e-mail om zichzelf te repliceren en systemen over de hele wereld te infecteren. Zodra Mydoom eenmaal wortel had geschoten, kaapte het de computer van een slachtoffer om meer kopieën van zichzelf te e-mailen. Verbazingwekkend effectief: Mydoom-spam was ooit verantwoordelijk voor maar liefst 25% van alle wereldwijd verzonden e-mails, een record dat nog nooit is verbroken en uiteindelijk $35 miljard aan schade veroorzaakte. Gecorrigeerd voor inflatie is het nog steeds het financieel meest destructieve stukje malware dat ooit is gemaakt.

Naast het kapen van e-mailprogramma's om zoveel mogelijk systemen te infecteren, gebruikte Mydoom ook geïnfecteerde computers om een ​​botnet te creëren en gedistribueerde denial-of-service (DDoS-aanvallen. Ondanks de impact ervan zijn de cybercriminelen achter Mydoom nooit gepakt of zelfs maar geïdentificeerd. 

2007: Zeus-virus

Zeus werd voor het eerst geïdentificeerd in 2007 en infecteerde personal computers via phishing en drive-by-downloads. Daarmee demonstreerde hij het gevaarlijke potentieel van een trojan-achtig virus dat veel verschillende soorten kwaadaardige software kan leveren. In 2011 lekten de broncode en de handleiding uit, wat waardevolle gegevens opleverde voor zowel cyberbeveiligingsprofessionals als andere hackers.

2013: CryptoLocker-ransomware 

CryptoLocker, een van de eerste gevallen van ransomware, staat bekend om zijn snelle verspreiding en krachtige (voor die tijd) asymmetrische encryptiemogelijkheden. CryptoLocker wordt verspreid via malafide botnets die zijn opgevangen door het Zeus-virus en codeert systematisch gegevens op geïnfecteerde pc's. Als de geïnfecteerde pc een client in een lokaal netwerk is, zoals een bibliotheek of kantoor, worden eerst gedeelde bronnen aangevallen.

Om weer toegang te krijgen tot deze gecodeerde bronnen, vroegen de makers van CryptoLocker een losgeld van twee bitcoins, die destijds werden gewaardeerd op ongeveer $715 USD. Gelukkig slaagde het ministerie van Justitie er in 2014 in om, in samenwerking met internationale instanties, de controle over het kwaadaardige botnet over te nemen en de gijzelaarsgegevens gratis te ontsleutelen. Helaas wordt het CyrptoLocker-programma ook verspreid via eenvoudige phishing-aanvallen en blijft het een aanhoudende bedreiging.

2014: Emotet-trojan

Ooit door Arne Schoenbohm, hoofd van het Duitse Bureau voor Informatiebeveiliging, de 'koning van de malware' genoemd, is de Emotet-trojan een goed voorbeeld van wat bekend staat als polymorfe malware, waardoor het voor informatiebeveiligingsspecialisten moeilijk is om deze ooit volledig uit te roeien. Polymorfe malware werkt door de eigen code elke keer dat deze wordt gereproduceerd enigszins te wijzigen, waardoor er geen exacte kopie ontstaat, maar een variant die net zo gevaarlijk is. In feite is het gevaarlijker omdat polymorfe trojans moeilijker te identificeren en te blokkeren zijn voor anti-malwareprogramma's.

Net als de Zeus-trojan blijft Emotet een modulair programma dat wordt gebruikt om andere vormen van malware af te leveren en dat vaak wordt gedeeld via traditionele phishing-aanvallen.

2016: Mirai-botnet 

Terwijl computers blijven evolueren, van desktops naar laptops, naar mobiele apparaten en een groot aantal netwerkapparaten, geldt dat ook voor malware. Met de opkomst van het internet der dingen zorgen slimme IoT-apparaten voor een enorme nieuwe golf van kwetsbaarheden. Het Mirai-botnet, gemaakt door student Paras Jha, heeft een groot aantal, voornamelijk IoT-compatibele CCTV-camera's met zwakke beveiliging gevonden en overgenomen.

Aanvankelijk ontworpen om gamingservers te targeten voor DoS-aanvallen, was het Mirai-botnet zelfs nog krachtiger dan Jha had verwacht. Het richtte zijn blik op een grote DNS-provider en sloot grote delen van de oostkust van de Verenigde Staten bijna een hele dag lang af van internet.

2017: Cyberspionage 

Hoewel malware al jaren een rol speelde in cyberoorlogvoering, was 2017 een topjaar voor door de staat gesponsorde cyberaanvallen en virtuele spionage, te beginnen met een relatief onopvallende ransomware genaamd Petya. Hoewel gevaarlijk, verspreidde de Petya-ransomware zich via phishing en was niet bijzonder besmettelijk totdat het werd gewijzigd in de NotPetya-wisserworm, een programma dat op ransomware leek, maar gebruikersgegevens vernietigde, zelfs als er losgeld werd gestuurd. Datzelfde jaar zag de WannaCry-ransomware De worm treft een aantal spraakmakende doelwitten in Europa, vooral in de Britse National Health Service. 

Er wordt aangenomen dat NotPetya verbonden is met de Russische inlichtingendienst, die mogelijk het Petya-virus heeft aangepast om Oekraïne aan te vallen, en dat WannaCry mogelijk verbonden is met soortgelijke vijandige sectoren van de Noord-Koreaanse regering. Wat hebben deze twee malware-aanvallen met elkaar gemeen? Beiden werden mogelijk gemaakt door een Microsoft Windows-exploit genaamd Eternalblue, die voor het eerst werd ontdekt door de National Security Agency. Hoewel Microsoft de exploit uiteindelijk zelf heeft ontdekt en gepatcht, bekritiseerden ze de NSA omdat deze deze niet had gemeld voordat hackers misbruik konden maken van de kwetsbaarheid.

2019: Ransomware-as-a-Service (RaaS)

De afgelopen jaren is ransomware-malware zowel van de grond gekomen als afgenomen. Maar hoewel het aantal succesvolle ransomware-aanvallen mogelijk afneemt, richten hackers zich op steeds prominentere doelwitten en richten ze grotere schade aan. Nu is Ransomware-as-a-Service een verontrustende trend die de afgelopen jaren in een stroomversnelling is gekomen. RaaS wordt aangeboden op dark web-marktplaatsen en biedt een plug-and-play-protocol waarin professionele hackers ransomware-aanvallen uitvoeren in ruil voor een vergoeding. Terwijl eerdere malware-aanvallen een zekere mate van geavanceerde technische vaardigheden vereisten, stellen huursoldaten die RaaS aanbieden iedereen met kwade bedoelingen en geld te besteden in staat.

2021: Een noodtoestand

De eerste spraakmakende ransomware-aanval met dubbele afpersing vond plaats in 2019, toen hackers het beveiligingsbureau Allied Universal infiltreerden, waarbij ze tegelijkertijd hun gegevens codeerden en dreigden de gestolen gegevens online vrij te geven. Deze extra laag betekende dat zelfs als Allied Universal hun bestanden had kunnen ontsleutelen, ze nog steeds te maken zouden krijgen met een schadelijk datalek. Hoewel deze aanval opmerkelijk was, is de Colonial Pipeline-aanval van 2021 beruchter vanwege de ernst van de impliciete dreiging. Destijds was de Koloniale Pijpleiding verantwoordelijk voor 45% van de benzine en vliegtuigbrandstof in het oosten van de Verenigde Staten. De aanval, die meerdere dagen duurde, trof zowel de publieke als de private sector langs de oostkust, en was voor president Biden aanleiding om de tijdelijke noodtoestand uit te roepen.

2022: Een nationale noodsituatie

Hoewel ransomware-aanvallen lijken af ​​te nemen, blijven zeer gerichte en effectieve aanvallen nog steeds een huiveringwekkende dreiging vormen. In 2022 leed Costa Rica een reeks ransomware-aanvallen, wat eerst het ministerie van Financiën verlamde en zelfs gevolgen had voor civiele import- en exportbedrijven. Een volgende aanval haalde vervolgens het gezondheidszorgsysteem van het land offline, waardoor mogelijk elke burger in het land rechtstreeks werd getroffen. Als gevolg hiervan schreef Costa Rica geschiedenis als het eerste land dat de nationale noodtoestand uitriep als reactie op een cyberaanval.

Ontdek QRadar SIEM ransomware-oplossingen