Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Overzicht cyberaanvallen week 03-2022
FBI verdenkt Trickbot groep van ontwikkeling Diavol ransomware, account gegevens buitgemaakt bij ransomware aanval OpenSubtitles.org en nieuwe White Rabbit ransomware gekoppeld aan FIN8 hacking groep. Hier het overzicht van afgelopen week en het nieuws van dag tot dag.
Cybercrime nieuwsbrief 193 week 03-2022
Cybergevaren in 2022 de grootste zorg voor bedrijven in Belgie en Nederland voor COVID-19, criminal-to-criminal-model met een duidelijke rolverdeling neemt verder toe in 2022 en politie roept mensen op alert te blijven middels lancering ABC-methode. Dit en meer lees je in nieuwsbrief 193.
Datalek nieuws en overzicht week 03-2022
Een datalek kan ernstige gevolgen hebben, soms worden levens totaal verwoest door dat er identiteit fraude mee gepleegd wordt.
Phishing, nepshop en fraude meldingen week 03-2022
Het melden van 'digitale oplichting' pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?!, Radar, Kassa, of Fraudehelpdesk dan weten, want Samen bestrijden we cybercrime / digitale fraude. Ben je slachtoffer geworden van oplichting doe dan 'altijd' aangifte bij de politie.
Hij zette bitcoins om in euro’s voor personen die op het darkweb handelden in medicijnen
Afgelopen donderdag stond een verdachte van witwassen met behulp van zogenaamde cryptocurrency kaarten voor de rechter in Rotterdam. Het Openbaar Ministerie (OM) verwijt hem voor meer dan 2,5 ton euro te hebben witgewassen. Ook wordt hem het voorhanden hebben van hard- en softdrugs verweten.
Politie roept mensen op alert te blijven middels lancering ABC-methode
De politie heeft in september en oktober 2021 meerdere verdachten aangehouden in een grote cyberzaak. De verdachten gaven zich aan de telefoon uit als medewerkers van een bank en kwamen aan de deur bij slachtoffers. Deze babbeltruc, ook wel bankhelpdesk fraude genoemd, is gebruikt bij minimaal 95 personen. De politie roept mensen dan ook op om alert te blijven bij verdachte telefoontjes of mailtjes en lanceert daarom de ABC-methode.
Criminal-to-criminal-model met een duidelijke rolverdeling neemt verder toe in 2022
Er zijn inmiddels al twee pandemie-jaren verstreken. Deze jaren hebben niet alleen veranderingen teweeggebracht in de werkcultuur, maar hebben ook gezorgd voor compleet nieuwe security-uitdagingen. Waar in het eerste coronajaar het verhuizen van medewerkers naar de thuisomgeving centraal stond, werden bedrijven het afgelopen jaar geconfronteerd met de veiligheidsrisico’s die deze, soms overhaaste, digitalisering met zich meebracht. Om de veiligheidsrisico’s het komende jaar te minimaliseren, zullen bedrijven hun IT-beveiligingsinfrastructuur moeten aanpassen aan de cloud. Nicolas Casimir, CISO EMEA bij Zscaler, gaat verder in op deze en andere trends voor het komende jaar.
Hou tv en deurbel slim, hoe veilig zijn jouw slimme apparaten?
Dat cybercriminelen via één slim apparaat (IoT) bij je kunnen binnenkomen om foto’s en andere gegevens te stelen en je apparaten te vergrendelen, is voor veel mensen bekend. Net als het feit dat software-updates helpen om (slimme) apparaten veilig te houden.
Hoe herken je nep advertenties op websites waar sekswerkers kunnen adverteren?
Op websites waar sekswerkers kunnen adverteren, staan minstens 300 advertenties waar klanten mee worden opgelicht. Achter deze advertenties gaan oplichters schuil, die via gestolen afbeeldingen mannen naar hun profiel lokken. Zodra zij een afspraak willen maken, moeten ze vooruit betalen en komt het nooit tot een ontmoeting. Dat blijkt uit onderzoek van Pointer (KRO-NCRV).
Cybergevaren in 2022 de grootste zorg voor bedrijven in Belgie en Nederland voor COVID-19
Volgens de Allianz Risicobarometer vormen cybergevaren in 2022 de grootste zorg voor bedrijven wereldwijd. De dreiging van ransomware-aanvallen, datalekken of een grote IT-uitval baart bedrijven nog meer zorgen dan bedrijfsonderbrekingen en verstoring van de toeleveringsketen, natuurrampen of de coronapandemie, die bedrijven in het afgelopen jaar allemaal zwaar hebben getroffen.
‘VPNLab’ offline gehaald door politie diensten
Handhavingsinstanties ondernamen deze week actie tegen het misbruik van VPN-diensten door criminelen. Dit deden ze door de infrastructuur en de gebruikers van VPNLab.net aan te pakken. De producten van de VPN-provider, bedoeld voor afgeschermde communicatie en internettoegang, werden ter ondersteuning van ernstige misdrijven gebruikt. Zoals de inzet van Ransomware en andere cybercriminaliteit.
"Ik geloof sterk in preventie"
Breda gelooft in inzet van inwoners bij het veilig en leefbaar houden van de gemeente. Er is al tien jaar een groot buurtpreventienetwerk. Voor haar overstap naar het gerechtshof Den Bosch, waar ze raadsheer is geworden, blikte wethouder leefbaarheid en wijkveiligheid Greetje Bos (VVD) terug op de behaalde resultaten. ‘Na elke campagne gaat het aantal meldingen omhoog.’