Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Cybercriminelen gebruiken gespannen politieke situatie om bepaalde groepen te infecteren met malware
Security bedrijf 'Check Point Research' kwam onlangs een grootschalige campagne tegen die jarenlang Facebook pagina's gebruikte om malware te verspreiden.
Nieuwsbrief 60 (week 26-2019) #CCINL | www.cybercrimeinfo.nl
#CCINL WEBSITE | www.cybercrimeinfo.nl
Phishing overzicht week 26-2019
Bron: #CCINL, Fraudehelpdesk
Darkweb markt Chemical Revolution 'take down'
De Duitse politie heeft een grote internetwinkel voor synthetische drugs opgerold. Er zijn elf mensen gearresteerd, onder wie een 26-jarige hoofdverdachte, meldt de politie vandaag. Onder de verdachten is ook een 43-jarige Nederlander. Hij werd al in februari opgepakt.
Excel kan malware binnenlaten
Een functie in Excel kan er voor zorgen dat malware via een toegestuurd Excel-bestand wordt binnengehaald. Microsoft is niet van plan een patch uit te brengen omdat de functie omzeild kan worden.
Cybercriminelen stelen 24 miljoen euro aan bitcoins
De politie heeft drie Nederlanders aangehouden op verdenking van het witwassen van cryptovaluta. Ook in Engeland werden personen aangehouden. De aanhoudingen zijn onderdeel van een groot internationaal onderzoek naar de diefstal van 24 miljoen euro aan bitcoins.
Keyless hacking: ook meeste nieuwe auto’s gevoelig voor keyless diefstal
Het Britse onderzoeksbedrijf Thatcham Research heeft met een nieuwe testmethode onderzocht welke merken en types auto’s gevoelig zijn voor diefstal, door het signaal van de elektronische sleutel te kopiëren. Bij de meeste auto’s blijkt de beveiliging nog altijd ontoereikend.
Chinezen hackten providers computersystemen van enkele grote telecomproviders
Hackers hebben ingebroken in de computersystemen van enkele grote telecomproviders. Daarbij hebben ze gegevens van klanten gestolen, zegt cyberbeveiliger 'Cybereason', zoals namen, adresgegevens, mailservers, locatiedata, gebruikersnamen, wachtwoorden en een overzicht van alle oproepen.
Toename van online seksuele uitbuiting (sextortion) gemeld door de FBI
Steeds meer jongeren worden slachtoffer van seksuele afpersing (sextortion). Zo meldde de FBI dat kinderen van 10 tot 17 jaar in toenemende mate seksueel worden uitgebuit en 'sextorted' door cybercriminelen.
Nieuwsbrief 59 (week 25-2019) - © CCINL | Cybercrimeinfo.nl
© CCINL WEBSITE | www.cybercrimeinfo.nl
Phishing overzicht week 25-2019
Bron: CCINL, Fraudehelpdesk
Te mooi om waar te zijn 'gratis telefoon of Macbook bij Ziggo'
Het is te mooi om waar te zijn. En dus is het ook niet waar. Cybercriminelen proberen met lokkertjes als een Samsung Galaxy S10 telefoon, Apple Macbook Pro en iPad Pro de aandacht van Ziggo-klanten te krijgen.