Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Hackers plaatsen DDoS-aanvallen met een knip van de vinger
De zogenaamde Distributed Denial of Service (DDoS) aanvallen zijn het digitale equivalent van het ingooien van een bushokje. Toch is het schadelijker dan het lijkt, mede door het gevoel van onveiligheid die DDoS-aanvallen veroorzaken. Een dader vertelt hoe hij te werk gaat.
Cybercriminelen stelen gegevens 186.000 creditcards via formjacking
Cybercriminelen hebben door het toevoegen van kwaadaardige code aan webwinkels de gegevens van 186.000 creditcards weten te stelen, zo ontdekten onderzoekers van securitybedrijf Fortinet. De criminelen wisten bij verschillende webwinkels in te breken.
Hackers sturen slachtoffers naar andere sites met lek in blogsoftware
Een groep hackers zou actief misbruik maken van een beveiligingslek in de blogsoftware Wordpress. Bezoekers van getroffen blogs worden hierdoor automatisch doorgestuurd naar websites van de aanvallers.
Oplichting via nep verhuur sites neemt toe
Een mooi appartement in het centrum, voor een lage prijs en van alle gemakken voorzien. Het klinkt voor woningzoekers te mooi om waar te zijn, en dat is het soms ook. De Fraudehelpdesk en de Woonbond waarschuwen iedereen die op zoek is naar een huurwoning: oplichting via neppe verhuursites neemt toe.
Nieuwe Malware 'Mirai-variant' besmet IoT-apparaten
Onderzoekers hebben een nieuwe variant van de beruchte Mirai-malware ontdekt die dertien verschillende exploits gebruikt om Internet of Things-apparaten (IoT) te infecteren. De exploits maken misbruik van bekende kwetsbaarheden in digitale videorecorders, routers en andere apparaten.
Eis: jarenlange celstraffen voor online drugsverkopers darkweb
Drugsdealers, versie 2.0. Zo betitelden maandag de officieren van justitie van het Landelijk Parket vier mensen die worden verdacht van de grootschalige verkoop van drugs. De verdachten waren eerst actief via de door politie en OM neergehaalde Hansa Market op het darkweb. Als het aan het OM ligt gaan drie mannen daarvoor 6,5 jaar de cel in, een vrouw 24 maanden waarvan 8 voorwaardelijk. Bovendien kondigde het OM een ontneming van in totaal meer dan 2 miljoen euro aan. De rechtbank Rotterdam behandelt de zaak deze week. Woensdag is de laatste dag.
Nieuwsbrief 55 (week 21-2019) - © CCINL | Cybercrimeinfo.nl
Dat kan, schrijf je HIER in, uitschrijven kan altijd met de link onderaan de nieuwsbrief.
Phishing overzicht week 21-2019
Bron: Fraudehelpdesk
Check dan Klik!
Minister Grapperhaus (Justitie en Veiligheid) trapte vandaag tijdens de Landelijke Veiligheidsdag in Almere de publiekscampagne Eerst checken, dan klikken af. De campagne roept mensen op zich beter te beschermen tegen phishing en andere vormen van internetcriminaliteit. Ook tekenden Grapperhaus, staatssecretaris Keijzer (EZK) en een groot aantal bedrijven en brancheorganisaties het convenant ‘Preventie cybercriminaliteit’. Zij trekken samen op in de strijd tegen internetcriminaliteit.
FIOD en OM halen witwasmachine voor cryptovaluta offline
De FIOD en het Openbaar Ministerie hebben op 22 mei een van de grootste online mixers voor cryptovaluta offline gehaald. Het gaat om Bestmixer.io. Met deze actie wordt een grote slag toegebracht aan het verhullen van criminele geldstromen via het mixen van cryptovaluta zoals bitcoins.
Smishing alert uit naam van Belastingdienst
Opnieuw wordt de naam van de Belastingdienst misbruikt. Oplichters sturen namelijk sms-berichten (smishing) over een betalingsachterstand. Via de link kunt u eenvoudig betalen. Doe dit niet!
Jongeren bestraft voor betrokkenheid bij internetoplichting
Voor 23 jongeren uit Rotterdam, in de leeftijd van 15 tot 22 jaar, zag afgelopen weekend er anders uit dan verwacht. Zij zaten een dag op het politiebureau op verdenking van betrokkenheid bij internetoplichting en witwassen. Op het politiebureau waren reclasseringsmedewerkers, rechercheurs , officieren van justitie en een advocaat aanwezig, om de jongeren diezelfde dag nog te wijzen op hun gedrag en zo nodig een straf op te leggen.