Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Amerikaanse gemeente besluit tot betalen cybercriminelen
Eind juli werd de Amerikaanse stad 'Lafeyette' het slachtoffer van een ransomware aanval. Cybercriminelen hadden het stadsnetwerk geïnfecteerd en eisten € 38.000 euro voor het ontsleutelen van de bestanden.
Canon maakt ransomware aanvallen bekend aan werknemers
BleepingComputer heeft een screenshot ontvangen van een intern bericht dat door Canon naar medewerkers is gestuurd waarin de ransomware aanval wordt onthuld.
"Storing" bij Canon
Dat er veel meer cybercrime slachtoffers zijn dan wordt gemeld, is inmiddels wel duidelijk. Er heerst nog altijd een taboe rondom slachtofferschap van digitale delicten.
Criminelen misleiden jongeren en kinderen via Instagram
Criminelen proberen hun slag steeds vaker digitaal te slaan, en Instagram vormt daarop natuurlijk geen uitzondering.
Opnieuw slachtoffer: "Schijnbaar houden deze daders een goede boekhouding bij"
De laatste tijd worden vooral oudere Zeeuwse mensen voor de tweede of derde keer voor duizenden euro's opgelicht. De politie waarschuwt alert te zijn en oplichtingspraktijken bij de politie en uw bank te melden.
Cybercriminelen publiceren tientallen gigabytes aan interne gegevens van LG en Xerox
De cybercriminelen van de Maze-ransomware hebben gisteren tientallen GB interne gegevens van de netwerken van de zakelijke reuzen 'LG' en 'Xerox' gepubliceerd na twee mislukte afpersingspogingen.
Dropshipping, oplichting of toch niet?
Wie herkent dit niet, 'iets bestellen in een Nederlandse webwinkel en er later achter komen dat het pakketje gewoon van een site als AliExpress komt en daar ook nog eens veel goedkoper is'.
Amerikaanse overheid beschuldigd China van malware aanvallen
De Amerikaanse autoriteiten hebben de Chinese overheid gisteren beschuldigd van het uitvoeren van aanvallen met de 'Taidoor-malware'. Een 'Remote Access Trojan (RAT)' waarmee op afstand toegang tot systemen kan worden verkregen. De waarschuwing is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security.
Apollo Vredestein weerloos tegenover cybercriminelen als een van de vele Nederlandse bedrijven
Apollo Vredestein blijkt, als een van de vele Nederlandse bedrijven, weerloos te zijn geweest tegenover cybercriminelen. De Twentse bandenfabriek, die ruim een week geleden door hackers werd platgelegd, gebruikte apparatuur die al meer dan tien jaar niet was bijgewerkt. De gebruiksaanwijzing waardoor hackers konden binnenkomen stond bovendien gewoon op internet.
'11 Zerodays' ontdekt in de eerste zes maanden van 2020
Volgens gegevens verzameld door het beveiligingsteam van Project Zero van Google, zijn er in de eerste helft van het jaar '11 zero-day kwetsbaarheden' misbruikt.
"Digitale leefwereld van onderwereld en onze jeugd vermengt zich"
Voor beleggers is Snap Inc. - het bedrijf achter onder andere SnapChat- zeer waardevol. De huidige waarde van het bedrijf wordt geschat op 1,4 miljard euro (1,7 miljard dollar). Het bedrijf heeft dus zeker een positieve impact op onze samenleving als dusdanig. Door de komst van SnapChat zijn veel nieuwe digitale mogelijkheden ontstaan die een positief effect op de samenleving en economie hebben, helemaal tijdens de covid-19 gerelateerde lockdowns over de gehele wereld.
Ransomware weekoverzicht week 31 - 2020
Nu No More Ransom 4 wordt, Garmin plotseling herstelt van hun ransomware-aanval en een aan GandCrab gelieerde onderneming wordt gearresteerd in Wit-Rusland, is het een behoorlijke week geweest als het gaat om ransomware nieuws.