Wat zijn de verschillende soorten malware?

Wat houdt malware in?

Het woord 'malware' is een samentrekking van 'malicious software'. Malware is ontregelende software die bewust is ontworpen om schade toe te brengen aan computers en computersystemen. Wanneer software onbewust schade toebrengt, wordt meestal gesproken over een softwarebug.

Mensen vragen soms wat het verschil is tussen een virus en malware. Het verschil is dat malware een overkoepelende term is voor een reeks online bedreigingen, waaronder virussen, spyware, adware, ransomware en andere soorten schadelijke software. Een computervirus is dus een soort malware.

Malware kan je netwerk binnendringen via phishing, schadelijke bijlagen, social engineering of flashdrives. In dit overzicht bespreken we een aantal veelvoorkomende soorten malware.

Soorten malware

Om jezelf te beschermen tegen de bedreigingen, is het belangrijk te weten met welke soorten malwareaanvallen je te maken kunt krijgen. Sommige categorieën malware zijn alom bekend (althans van naam), anderen zijn minder bekend:

Adware

Bij Adware, een samentrekking van 'advertising-supported software', worden ongewenste en soms schadelijke advertenties weergegeven op een computerscherm of mobiel apparaat en worden zoekresultaten omgeleid naar advertentiewebsites. Ook worden gebruikersgegevens onderschept, die zonder toestemming van de gebruiker kunnen worden doorverkocht aan adverteerders. Niet alle adware is malware, sommige soorten zijn legitiem en veilig.

Gebruikers kunnen de frequentie van adware en de soorten downloads die zij toestaan vaak beïnvloeden door de pop-upinstellingen en voorkeuren van hun internetbrowsers aan te passen of een adblocker te gebruiken.

Voorbeelden van adware:

• Fireball - Fireball behaalde in 2017 het nieuws toen een Israëlisch softwarebedrijf ontdekte dat wereldwijd 250 miljoen computers en 20% van alle zakelijke netwerken met deze adware waren geïnfecteerd. Wanneer Fireball binnendringt in je computer, neemt deze je browser over. Zodra je je startpagina opent, ga je naar een fake zoekmachine, Trotus, en op alle webpagina's die je bezoekt verschijnen storende advertenties. Het lukt je niet meer om je browserinstellingen aan te passen.
• Appearch - Appearch is ook een veelvoorkomend adwareprogramma in de vorm van een browserkaper. Appearch wordt vaak gebundeld met andere gratis software en voegt zoveel advertenties toe aan de browser dat browsen bijna onmogelijk is. Wanneer je bijvoorbeeld een website probeert te openen, word je omgeleid naar Appearch.info. En als je erin slaagt om een webpagina te openen, zet Appearch willekeurige stukken tekst om in hyperlinks. Wanneer je die tekst vervolgens selecteert, verschijnt er een pop-up met de vraag of je softwareupdates wilt downloaden.

Spyware

Spyware is een vorm van malware die zich schuilhoudt op je apparaat en alle activiteit volgt met als doel gevoelige informatie, zoals financiële gegevens, accountinformatie en logingegevens, te stelen. Spyware kan zich verspreiden door misbruik te maken van zwakke plekken in de software, via bundeling met legitieme software of via trojans.

Voorbeelden van spyware:

• CoolWebSearch - Dit programma maakte misbruik van de beveiligingslekken in Internet Explorer om de browser te kapen, de instellingen aan te passen en browsegegevens naar de auteurs te verzenden.
• Gator - Dit programma is meestal gebundeld met filesharingsoftware, zoals Kazaa, en volgt de internetactiviteiten van het slachtoffer. De verzamelde informatie wordt gebruikt voor het aanbieden van gerichte advertenties.

Ransomware en cryptomalware

Ransomware is malware die is bedoeld om gebruikers toegang tot hun systeem te ontzeggen of toegang tot gegevens te blokkeren totdat er losgeld wordt betaald. Cryptomalware is een vorm van ransomware waarbij gebruikersbestanden worden gecodeerd en pas na betaling voor een bepaalde deadline worden vrijgegeven. De betaling moet meestal plaatsvinden in een digitale valuta, zoals Bitcoin. Ransomware vormt al jaren een continue bedreiging voor organisaties in uiteenlopende sectoren. Nu steeds meer bedrijven digitale transformatie omarmen, is de kans om doelwit te worden van een ransomwareaanval enorm toegenomen. 

Voorbeelden van ransomware:

• CryptoLocker is een vorm van malware die vaak voorkwam in 2013 en 2014. Cybercriminelen konden hiermee toegang krijgen tot bestanden op een systeem om ze vervolgens te coderen. Met behulp van social engineering brachten cybercriminelen werknemers zover dat ze ransomware gingen downloaden op hun computer, zodat het netwerk geïnfecteerd zou raken. Zodra CryptoLocker was gedownload, werd er een losgeldbericht weergegeven waarin stond dat de gegevens zouden worden gedecodeerd als het losgeld vóór de genoemde deadline in contanten of Bitcoin zou worden betaald. Hoewel de CryptoLocker-ransomware inmiddels niet meer voorkomt, wordt geschat dat de gebruikers van deze ransomware met het afpersen van nietsvermoedende organisaties in totaal zo'n drie miljoen dollar hebben buitgemaakt.
• Phobos-malware - een vorm van ransomware die voor het eerst in 2019 ten tonele verscheen. Deze variant is gebaseerd op de bekende ransomware Dharma (ook wel bekend als CrySis).

Trojans

Een trojan (of trojaans paard) vermomt zichzelf als legitieme software en misleidt jou zo om schadelijke software op je computer te installeren. Door het betrouwbare uiterlijk, downloaden gebruikers het programma waardoor ze onbedoeld malware toelaten op hun apparaat. Trojans zelf zijn enkel een toegangspoort. In tegenstelling tot een worm, hebben ze een host nodig om te kunnen functioneren. Zodra een trojan is geïnstalleerd, kunnen hackers deze gebruiken om gegevens te wissen, te wijzigen of te verzamelen, je apparaat op te nemen in een botnet, je apparaat te bespioneren of om toegang te krijgen tot je netwerk.

Voorbeelden van trojans:

• Qbot-malware, ook bekend onder de naam Qakbot of Pinkslipbot, is een banktrojan die sinds 2007 actief is en die is gericht op het onderscheppen van gebruikersgegevens en inloggegevens voor internetbankieren. Inmiddels maakt de malware gebruik van nieuwe leveringsmechanismen, command-and-control-technieken en anti-analysefuncties.
• TrickBot-malware - voor het eerst ontdekt in 2016 - is een trojan die is ontwikkeld en wordt ingezet door geraffineerde cybercrimelen. De trojan werd oorspronkelijk ontworpen als banktrojan voor het stelen van financiële gegevens, maar is inmiddels geëvolueerd tot modulaire, meerfasige malware met een uitgebreid pakket aan tools voor het uitvoeren van talloze illegale cyberactiviteiten.

Wormen

Wormen zijn een van de meest voorkomende soorten malware en verspreiden zich over computernetwerken door misbruik te maken van beveiligingslekken in het besturingssysteem. Een worm is een standalone programma dat kopieën van zichzelf maakt om daarmee andere computers te infecteren zonder tussenkomst van de mens. Aangezien ze zich snel kunnen verspreiden, worden wormen vaak ingezet om een payload te installeren (een stukje code dat schade aanricht in het systeem). Payloads kunnen bestanden op een hostsysteem verwijderen, gegevens coderen voor een ransomwareaanval, informatie onderscheppen, bestanden wissen en botnets creëren.

Voorbeeld van een worm:

• SQL Slammer was een bekende computerworm die niet volgens traditionele verspreidingsmethodes werkte. In plaats daarvan genereerde de worm willekeurige IP-adressen en stuurde zichzelf naar deze adressen, op zoek naar bestemmingen die niet waren beveiligd met antivirussoftware. De worm werd in 2003 verspreid en infecteerde in korte tijd meer dan 75.000 computers, die ongemerkt werden ingezet voor DDoS-aanvallen op meerdere grote websites. Hoewel de benodigde beveiligingspatch al jaren beschikbaar is, was er in 2016 en 2017 een opleving van SQL Slammer.

Virussen

Een virus is een stukje code dat infiltreert in een applicatie en aan het werk gaat zodra de applicatie wordt gestart. Nadat het virus is binnengedrongen in een netwerk, kan het worden gebruikt om gevoelige gegevens te stelen, DDoS-aanvallen te starten of ransomwareaanvallen uit te voeren. Een virus verspreidt zich doorgaans via geïnfecteerde websites, het delen van bestanden of het downloaden van e-mailbijlagen, en sluimert op de achtergrond totdat het geïnfecteerde hostbestand of -programma wordt geactiveerd. Zodra dat gebeurt, kan het virus zichzelf kopiëren en verspreiden over je systemen.

Voorbeeld van virus:

• Stuxnet - Stuxnet werd ontdekt in 2010 en zou zijn ontwikkeld door de Amerikaanse en Israëlische overheid om het nucleaire programma van Iran te ontregelen. Het virus werd verspreid via een USB-stick en ontregelde de industriële regelsystemen van Siemens zodanig dat de centrifuges niet goed functioneerden en in korte tijd helemaal stuk gingen. Aangenomen wordt dat Stuxnet meer dan 20.000 computers heeft geïnfecteerd en heeft geleid tot de vernietiging van een vijfde van Irans nucleaire centrifuges, waardoor het programma jaren vertraging heeft opgelopen.

Keyloggers

Een keylogger is een soort spyware die de activiteiten van de gebruiker volgt. Keyloggers kunnen worden gebruikt voor legitieme doeleinden, bijvoorbeeld door ouders die de online activiteiten van hun kinderen willen volgen of door bedrijven die de activiteiten van hun werknemers willen monitoren. Wanneer ze echter voor kwaadwillende doeleinden worden geïnstalleerd, kunnen ze worden gebruikt om wachtwoorden, bankgegevens of andere gevoelige informatie te onderscheppen. Keyloggers kunnen op een systeem worden geplaatst via phishing, social engineering of schadelijke downloads.

Voorbeeld van keylogger:

• In 2017 werd een student aan de University of Iowa gearresteerd die door het installeren van keyloggers op computers van medewerkers inloggegevens wilde stelen om cijfers aan te passen. De student werd schuldig bevonden en kreeg een gevangenisstraf van vier maanden opgelegd.

Bots en botnets

Een bot is een computer die is geïnfecteerd met malware zodat deze op afstand kan worden aangestuurd door een hacker. De bot, ook wel zombiecomputer genoemd, kan vervolgens worden gebruikt om meer aanvallen uit te voeren of om onderdeel te worden van een verzameling bots, ook wel botnet genoemd. Omdat de opname in een botnet onopgemerkt blijft, kunnen botnets miljoenen apparaten omvatten. Botnets helpen hackers met talloze kwaadwillende activiteiten, waaronder DDoS-aanvallen, en versturen spam- en phishingberichten en verspreiden andere soorten malware.

Voorbeelden van botnets:

• Andromeda-malware - De botnet Andromeda verspreidde 80 verschillende malwarefamilies. De botnet werd zo groot dat deze op een gegeven moment elke maand een miljoen nieuwe machines infecteerde, door verspreiding via social media, instant messaging, spam-e-mails, exploit-kits en meer. Een samenwerking van onder andere de FBI en het European Cybercrime Centre van Europol heeft ertoe geleid dat de operatie in 2017 kon worden ontmandeld, maar veel pc's zijn nog steeds geïnfecteerd.
• Mirai - In 2016 zorgde een gigantische DDoS-aanval ervoor dat een groot deel van de Amerikaanse oostkust zonder internet kwam te zitten. De aanval, waarvan door de autoriteiten aanvankelijk werd gevreesd dat deze afkomstig was van een vijandige natie, werd veroorzaakt door de Mirai-botnet. Mirai is een soort malware dat automatisch Internet of Things (IoT)-apparaten zoekt om deze vervolgens te infecteren en onderdeel te maken van een botnet. Daarna kan dit IoT-leger worden gebruikt om DDoS-aanvallen in te zetten waarbij de servers van een doelwit worden overspoeld met een enorme stroom aan spamverkeer met schadelijke inhoud. Ook vandaag de dag zorgt Mirai nog voor problemen.

PUP-malware

PUP's - wat staat voor 'potentially unwanted programs' - zijn programma's die mogelijk advertenties, werkbalken en pop-ups omvatten die niets te maken hebben met de software die je hebt gedownload. Strikt genomen zij PUP's niet altijd malware. PUP-ontwikkelaars wijzen erop dat, in tegenstelling tot malware, hun programma's worden gedownload met toestemming van de gebruiker. Wel wordt algemeen erkend dat het downloaden van PUP's hoofdzakelijk plaatsvindt omdat mensen zich niet realiseren dat ze hiervoor hun toestemming hebben gegeven.

PUP's zijn vaak gebundeld met andere, legitiemere software. De meeste mensen worden opgezadeld met een PUP omdat ze een nieuw programma hebben gedownload en geïnstalleerd zonder eerst de kleine lettertjes te lezen, waardoor ze niet doorhadden dat ze ook instemden met aanvullende programma's die geen echt doel dienen.

Voorbeeld van PUP-malware:

• Mindspark-malware - een makkelijk te installeren PUP die op de computers van gebruikers belandde zonder dat ze de download hadden opgemerkt. Mindspark kan instellingen veranderen en een apparaat dingen laten doen zonder medeweten van de gebruiker. Deze malware is moeilijk te verwijderen.

Hybrids

De meeste malware bestaat tegenwoordig uit een combinatie van verschillende soorten schadelijke software met doorgaans elementen van trojans en wormen en af en toe een virus. De eindgebruiker denkt meestal dat er sprake is van een trojan, maar zodra deze wordt uitgevoerd, worden anderen binnen het netwerk ook aangevallen alsof er een worm in het spel is.

Voorbeeld van hybride malware:

• In 2001 lanceerde een malwareontwikkelaar die zichzelf Lion noemt een vorm van hybride malware - een worm/rootkit-combinatie. Met rootkits kunnen hackers besturingssysteembestanden manipuleren, en wormen fungeren als krachtige infectiehaarden voor het snel verspreiden van stukjes code. Deze schadelijke combinatie had desastreuze gevolgen: meer dan 10.000 Linux-systemen raakten beschadigd. De worm/rootkit-combinatiemalware was specifiek gericht op de beveiligingslekken van Linux-systemen.

Fileless malware

Fileless malware is een soort schadelijke software dat legitieme programma's gebruikt om een computer te infecteren. Deze vorm van malware maakt geen gebruik van bestanden (fileless) en laat geen sporen achter, waardoor het opsporen en verwijderen ervan erg lastig is. Fileless malware behoort sinds 2017 tot de veelvoorkomende soorten aanvallen, maar veel van de methoden die hierbij worden gebruikt bestaan al langer.

Omdat ze niet worden opgeslagen in bestanden of direct worden geïnstalleerd om een apparaat, werken fileless-infecties rechtstreeks vanuit het geheugen, zonder dat de schadelijke content ooit op de harde schijf belandt. Cybercriminelen zetten steeds vaker fileless malware in als effectief alternatief voor andere aanvalsvormen. Door de kleine voetafdruk en de afwezigheid van te scannen bestanden wordt het voor traditionele antivirusprogramma's steeds lastiger om deze vorm van malware op te sporen.

Voorbeelden van fileless malware:

• Frodo, Number of the Beast en The Dark Avenger zijn voorbeelden van het eerste uur.

Logic bombs

Een logic bomb is een soort malware dat geactiveerd wordt wanneer aan een bepaalde voorwaarde wordt voldaan, bijvoorbeeld op een bepaalde datum en specifiek tijdstip of bij de 20e keer dat iemand inlogt op een account. Virussen en wormen bevatten vaak logic bombs om hun payload te leveren (bijv. schadelijke code) op een vooraf gedefinieerd tijdstip of zodra aan een andere ingestelde voorwaarde wordt voldaan. De schade die logic bombs teweegbrengen varieert van het veranderen van gegevensbytes tot het onleesbaar maken van harde schijven.

Voorbeeld van logic bomb:

• In 2016 was er een programmeur die ervoor zorgde dat de spreadsheets van een Siemens-vestiging om de paar jaar storingen vertoonden, waardoor ze hem telkens opnieuw moesten inhuren om het probleem op te lossen. Jarenlang had niemand iets in de gaten totdat de schadelijke code per toeval openbaar werd.

Hoe verspreid malware zich?

Malwaredreigingen verspreiden zich het vaakst via:

• E-mail: Als je e-mail is gehackt, kan de malware ervoor zorgen dat je computer e-mails verstuurt met geïnfecteerde bijlagen of links naar schadelijke websites. Wanneer de ontvanger de bijlage opent of op de link klikt, wordt de malware geïnstalleerd op zijn of haar computer en begint de volgende infectieronde.
• Fysieke media: Hackers kunnen malware op een USB-flashdrive zetten en wachten tot een nietsvermoedend slachtoffer deze in zijn of haar computer steekt. Deze techniek wordt vaak toegepast bij bedrijfsspionage.
• Pop-upmeldingen: Dit kunnen valse beveiligingsmeldingen zijn die iemand ertoe brengt zogenaamde beveiligingssoftware te downloaden, die soms nog meer malware bevat.
• Kwetsbaarheden: Via een beveiligingslek in de software kan malware binnendringen in de computer, de hardware of het netwerk.
• Backdoors: Een bewust of onbewust ingebouwde opening in software, hardware, netwerken of beveiligingssystemen.
• Drive-by-downloads: Onbedoelde download van software met of zonder medeweten van de eindgebruiker.
• Escalatie van privileges: Een situatie waarin een aanvaller hoge toegangsrechten bemachtigt op een computer of netwerk en deze dan gebruikt om een aanval te doen.
• Homogeniteit: Als alle systemen op hetzelfde besturingssysteem draaien en zijn aangesloten op hetzelfde netwerk, is het risico dat een worm zich verspreidt over meerdere computers groter.
• Gemengde dreigingen: Malware-pakketten waarin kenmerken van verschillende soorten malware zijn gecombineerd, waardoor ze moeilijker op te sporen en uit te schakelen zijn omdat ze hun pijlen hebben gericht op uiteenlopende kwetsbaarheden.

Een malware-infectie herkennen

De volgende tekenen duiden erop dat je apparaat mogelijk is geïnfecteerd met malware:

•  Je computer is traag, crasht of bevriest
•  Het beruchte blauwe scherm
•  Programma's die automatisch openen en sluiten of zichzelf aanpassen
•  Gebrek aan opslagruimte
•  Meer pop-ups, werkbalken en andere ongewenste programma's
•  Er worden e-mails en berichten verstuurt zonder jouw tussenkomst

Gebruik antivirussoftware om je te beschermen tegen malwaredreigingen:

De beste manier om jezelf tegen een malwareaanval en ongewenste programma's te beschermen, is om een uitgebreid antivirusprogramma te gebruiken. Kaspersky Total Security biedt 24/7 bescherming tegen hackers, virussen en malware, zodat je gegevens en apparaten veilig zijn.

Gerelateerde artikelen:

• Wie maakt er malware?
• Wat is het verschil tussen een virus en een worm?
• Hoe werken computervirussen?
• De meest opmerkelijke ransomware van 2020