Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Een mysterieuze groep heeft Tor-exit-knooppunten gekaapt
Sinds januari 2020 voegt een mysterieuze kwaadwillende servers toe, aan het Tor-netwerk om SSL-stripping-aanvallen uit te voeren, op gebruikers die toegang hebben tot cryptocurrency-gerelateerde sites via de Tor-browser.
DDoS aanvallen gemiddeld 97% meer dan in zelfde periode vorig jaar
Uit het halfjaarlijkse DDoS rapport van 'Link11' blijkt dat er vanwege COVID-19 een forse toename is geweest in het aantal DDoS aanvallen.
Malafide organisaties bellen mensen op van internationaal circulerende lijsten
De AFM (autoriteit financiële markten) heeft 2.500 Nederlanders via een brief gewaarschuwd voor boilerrooms, dit zijn oplichters die een 'geweldig investeringsaanbod' hebben. In werkelijkheid is de aanbieding te mooi om waar te zijn en verlies je veel geld.
Cybercrime: "Het aantal is dit jaar bijna verdubbeld"
Het aantal aangiftes en meldingen van cybercrime is tijdens de coronacrisis explosief gestegen. In de eerste maanden van 2019 werden nog zo'n 2500 meldingen gedaan van cybercrime.
Top 10: Malware | Kwetsbaarheden
Cybersecurity bedrijf Check Point constateert een sterke toename van het Emotet-botnet dat spamcampagnes verspreidt na een periode van inactiviteit, met als doel bankgegevens te stelen en zich te verspreiden binnen gerichte netwerken.
Spie International bevestigt ransomware aanval
Spie International is het slachtoffer geworden van cybercriminelen. Ze slaagde erin om de Nefilim-ransomware op het computernetwerk van het bedrijf te installeren. Inmiddels werken alle systemen weer en draait de productie weer als vanouds. Wel is er data buitgemaakt van diverse klanten.
INTERPOL-rapport toont een alarmerend aantal cyberaanvallen tijdens COVID-19
Een INTERPOL-beoordeling van de impact van COVID-19 op cybercriminaliteit heeft aangetoond dat er een aanzienlijke verschuiving van het doelwit is van individuen en kleine bedrijven naar grote bedrijven, overheden en kritieke infrastructuur.
"Ik los het zelf op" en "Het heeft geen zin, de politie zal er niets aan doen"
Slachtoffers van online criminaliteit doen zelden aangifte bij de politie en wanneer zij dit wel doen, leidt dit vaak tot ontevredenheid.
Menselijke fouten grootste oorzaak cyberincidenten
Bijna alle bedrijven maken vandaag gebruik van clouddiensten. De cloud is schaalbaar, efficiënt en mobiel, perfect voor de groeiende datastromen en het toenemende thuiswerk van vandaag. Maar zonder gespecialiseerde kennis is de cloud niet zonder risico. Configuratie fouten door medewerkers zouden de grootste oorzaak zijn van cyberincidenten in de cloud. Dat wijzen twee studies van veiligheidsbedrijven uit.
Criminelen experimenteren met 'voice-fake'
Een Hagenaar deed in augustus aangifte van identiteitsfraude.
Ransomware weekoverzicht week 32 - 2020
BleepingComputer kan bevestigen dat Garmin de decoderingssleutel heeft ontvangen om hun bestanden te herstellen die zijn gecodeerd in de WastedLocker Ransomware-aanval.