Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Digitale veiligheid van hard- en software en IoT moet omhoog
De regering wil dat er volgend jaar in de hele Europese Unie minimale digitale veiligheidseisen voor Internet of Things-apparaten (IoT) van kracht worden. Ook moet het inkoopbeleid van de overheid rekening houden met de veiligheid van hard- en software en komt er een campagne over IoT-veiligheid.
Nieuwe truc met QR Code scanning
Update 18 juli 2019
Nederlanders en Belgen maken zich zorgen om digitale veiligheid
De Nederlandse veiligheidsindex van 2019 laat een stijging van zes punten zien, van 109 punten in 2018 naar 115 punten in 2019. Met name op het gebied van internetveiligheid zijn we ons meer zorgen gaan maken en een meerderheid van 54% vindt dat Nederlandse bedrijven onvoldoende maatregelen genomen hebben om hun persoonlijke data te beschermen, zelfs nadat de AVG vorig jaar van kracht werd.
Ontsleutel software nu beschikbaar voor Ransom GandCrab 5.2
Er is een gratis decryptietool voor de nieuwste versie van de GandCrab-ransomware verschenen waarmee slachtoffers kosteloos hun bestanden kunnen terugkrijgen.
Nieuwsbrief 58 (week 24-2019) - © CCINL | Cybercrimeinfo.nl
© CCINL WEBSITE | www.cybercrimeinfo.nl
Phishing overzicht week 24-2019
Bron: CCINL, Fraudehelpdesk
Vier aanhoudingen in onderzoek Marktplaats oplichting in regio Zeeland West-Brabant
Financiële rechercheurs van district De Markiezaten en agenten van de politieteams Bergen op Zoom en Roosendaal hebben de afgelopen tijd samen zaken opgepakt waarbij sprake was van oplichting via Marktplaats. Drie onderzoeken hebben inmiddels geleid naar vier verdachten. Twee verdachten zijn, gisteren, donderdag 13 juni, op hun woonadres aangehouden en overgebracht naar een politiebureau voor verhoor. Eén verdachte is op 1 april jl. aangehouden en verhoord. De vierde verdachte is uitgenodigd om een verklaring af te komen leggen. Deze man heeft zich nog niet gemeld en staat inmiddels gesignaleerd in het politiesysteem.
Cybercriminelen hacken profielen van facebook-gebruikers en verkopen daar kaartjes
Mensen die online een kaartje voor een uitverkocht concert van Marco Borsato of Metallica dachten te kopen, kwamen bedrogen uit. De fraude wordt steeds geraffineerder.
“Nederland kan ontwricht worden door Cyberaanvallen”
“Het maatschappelijke belang van cybersecurity is voor zowel de overheid als het bedrijfsleven zo groot dat er structureel toezicht moet zijn op de weerbaarheid van vitale organisaties. Met het oog op de nationale veiligheid moeten we een extra stap zetten om Nederland te beschermen tegen kwaadwillende landen of cybercriminelen.”
Smishing namens Intrum Justitia en Intrum Justilia
Er zijn veel valse SMS berichten in omloop namens Intrum Justitia en namens Intrum Justilia. In de sms-berichten wordt gevraagd een bedrag te voldoen via een betaallink. (Smishing, Phishing)
Pedohandboek op het Darkweb moet verboden worden
De Stichting 'Strijd tegen Misbruik' eist dat een handboek voor kindermisbruik wordt verboden en dreigt naar de rechter te stappen. Op internet is het boekwerk te vinden, met daarin aanwijzingen om kinderen ongezien te misbruiken.
Luchtvaartbedrijf ASCO Zaventem getroffen door Ransomware, 1.000 medewerkers tijdelijk werkeloos
ASCO Zaventem, dat vliegtuigonderdelen maakt voor onder meer Boeing en Airbus, is gehackt. De productie ligt zeker stil tot woensdagavond, meer dan duizend werknemers kunnen daardoor niet aan de slag. Ook andere vestigingen van het bedrijf zijn getroffen. “De autoriteiten zijn ingelicht en hebben ICT-professionals aangesteld om het incident verder te onderzoeken”, aldus het bedrijf.