Het recente beveiligingslek in software van Apache heeft al bij 47 procent van de bedrijfsnetwerken in Nederland geleid tot een poging tot misbruik. Dat meldt Check Point Research (pdf) op basis van eigen onderzoek. Het bedrijf waarschuwt dat 46 procent van de pogingen gedaan wordt door bekende kwaadwillende groepen.
Hackers in dienst van de overheden van China, Iran, Noord Korea en Turkije zijn aan de slag gegaan met de Log4Shell-kwetsbaarheid in Java-logtool Log4j. De staatshackers misbruiken de bug om malware te verdelen. De Iraanse groep Phosphorus zou bijvoorbeeld ransomware verspreiden met de hulp van Log4Shell en het Chinese Hafnium, gekend van het Microsoft Exchange-hack, valt actief gevirtualiseerde infrastructuur aan via de nieuwe bug.
Cryptomining en ransomware
Het beveiligingslek is bekend onder de naam Log4j en stelt hackers in staat om binnen te dringen in netwerken en daar software te installeren. In een aantal gevallen is dat inmiddels gelukt en wordt computercapaciteit misbruikt om cryptomunten te minen. Dat is nog redelijk onschuldig, maar de criminelen kunnen met hetzelfde gemak ransomware installeren om hun slachtoffer af te persen. Het is een soort ‘live trial’ van de kwetsbaarheid en het potentieel van de schade die bij de slachtoffers kan worden aangericht, om later een groter offensief uit te voeren, aldus Check Point Research.
Check Point Research heeft inmiddels talloze aanvallen gedetecteerd die gebruikmaken van de Log4j-kwetsbaarheid en kan een gedetailleerd voorbeeld tonen van hoe een echte aanval daadwerkelijk werkt. Terwijl de meeste miners deze kwetsbaarheid gebruikten voor op Linux gebaseerde cryptomining, hebben Check Point-onderzoekers nu een cyberaanval gedetecteerd waarbij een niet eerder gevonden op NET gebaseerde malware werd gebruikt. Deze specifieke aanval was gericht op vijf slachtoffers in de financiële, bank- en software-industrie in Israël, de Verenigde Staten, Zuid-Korea, Zwitserland en Cyprus. De server die de schadelijke bestanden bevat, bevindt zich in de VS en host meerdere schadelijke bestanden.
De aanval maakt gebruik van de Log4j-kwetsbaarheid om een trojan-malware te downloaden, die een download van een .exe-bestand activeert, dat op zijn beurt een crypto-miner installeert. Zodra de crypto-miner is geïnstalleerd, begint deze de bronnen van het slachtoffer te gebruiken om cryptocurrency te delven waarmee de aanvallers geld verdienen. Het slachtoffer merkt hooguit dat zijn computersysteem trager wordt. Als onderdeel van de ontwijkingstechnieken van de malware worden alle relevante functies en bestandsnamen versluierd om detectie door statische analysemechanismen te voorkomen.
Focus nu nog op verkenning
Over het algemeen ligt de focus van aanvallers nog op scans. Ze zijn naarstig opzoek naar kwetsbare systemen om later aanvallen uit te voeren op vette vissen. Naarmate ze de kwetsbaarheid meer in kaart brengen, volgen operationele aanvallen. Microsoft ziet bijvoorbeeld hoe aanvallers 'Cobalt Strike Beacons' op systemen plaatsen om zo dieper binnen te dringen in netwerken van een doelwit. Verder ontpopt cryptominen zich tot een populair gebruik van Log4Shell.
Het beveiligingslek wordt intussen ook schadelijkere doeleinden misbruikt. Volgens Zahier Madhar van Check Point Software Nederland, scannen aanvallers actief naar potentieel kwetsbare doelen. Daarbij kunnen ze gebruik maken van nieuwe scantools voor deze kwetsbaarheid. Woensdag ontdekte het bedrijf dat een Iraanse hackersgroep de Log4j-kwetsbaarheid probeerde te misbruiken tegen zeven doelen in Israël. Deze aanval kon worden geblokkeerd.
Het begin van de impact van Log4Shell
Madhar: “We zullen aanvallen met betrekking tot Log4j blijven onderzoeken. Onze rapporten van de afgelopen 48 uur bewijzen dat zowel criminele hackgroepen als nationale actoren betrokken zijn bij het onderzoeken van deze kwetsbaarheid en we moeten allemaal aannemen dat de komende dagen meer van dergelijke actoren zullen worden onthuld.”
Het wordt alsmaar duidelijker dat we nog maar aan het begin staan van de impact van Log4Shell. Staatsgesponsorde hackers kunnen met hun grote middelen een immense schade aanrichten. Bovendien komen de cyberwapens die ze ontwikkelen na verloop van tijd al te vaak in handen van andere actoren.
Bron: anoniem, microsoft.com, checkpoint.com, itdaily.be, beveiligingnieuws.nl
Log4j gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Ernstige kwetsbaarheden 》Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer nieuws
Gedigitaliseerde oplichting / misdaad overzicht week 39-2020
Het melden van digitale oplichting pogingen is belangrijk, door het melden kunnen we andere potentiële slachtoffers behoeden voor het te laat is. Heb je een phishing mail, smishing bericht of werd je gebeld en vertrouw je het niet? Laat het ons, of onze collega's van Opgelicht?! of Fraudehelpdesk dan weten want Samen bestrijden we cybercrime. Liever anoniem? Klik dan hier.
De gaming-industrie behoort tot een van de zwaarst getroffen sectoren als het gaat om cyberaanvallen
Of het nu gaat om diamanten graven in een virtuele zandbak of de rol van een held spelen in een 'massively multiplayer online role-playing game' (MMORPG), of het zoeken naar de perfecte plek om een hinderlaag op te zetten in een 'first-person shooter (FPS)', gamen is voor velen aan het eind van de dag een beetje stoom afblazen. Of misschien midden op de dag wanneer er een lege ruimte in de agenda is, nu we allemaal vanuit huis werken. Vertel het maar niet aan mijn baas. ;-)
Phishing, Smishing en Vishing populair als aanvalstechniek
De covid19 pandemie heeft wereldwijd honderdduizenden levens geëist, massale werkloosheid veroorzaakt en de manier waarop veel mensen hun leven leiden veranderd. Zelfs de economisch meest welvarende en stabiele economieën maken zich zorgen.
Malware golf met varianten van Remote Access Trojan (RAT) verwacht
De volledige 'Cerberus-broncode' is gelekt op het darkweb en nu gratis beschikbaar voor cybercriminelen. Cerberus is een geavanceerde malware, gericht op online bankieren van Android.
'Veilige kluisrekening', daar trapt de Cybersecurity specialist niet in
Met gebruik van zogeheten 'spoofing'-techniek konden criminelen de afgelopen maanden het telefoonnummer van de bank gebruiken om tientallen klanten te bellen en hen met een babbeltruc overhalen om geld naar een andere rekening over te maken. Zo konden in totaal miljoenen euro’s worden buitgemaakt. Nu blijkt dat de Rabobank deze fraude vergoedt, terwijl klanten van ING en ABN AMRO zelf opdraaien voor de schade.
Amsterdams waterbedrijf 'Waternet' hacken, is kinderspel
Bij het Amsterdamse waterbedrijf Waternet is de digitale beveiliging niet op orde. Dat blijkt uit een onderzoek van Follow The Money (FTM), die zich baseren op interne documenten en gesprekken met medewerkers.
Operatie 'DisrupTor' op het darkweb leidt tot 179 aanhoudingen in 6 landen waaronder Nederland
Vandaag heeft een wereldwijd samenwerkingsverband van opsporingsdiensten de resultaten bekendgemaakt van een gezamenlijke operatie genaamd 'DisrupTor', die zich richtte op verkopers en kopers van illegale goederen op het darkweb.
Meeluisteren met telefoongesprekken en meelezen met berichten en niets in de gaten, zes jaar lang
Zou het mogelijk zijn om tweestapsverificatie codes te stelen en vervolgens mee te luisteren met je spraakomgeving? Of mee te lezen met wat je communiceert via Telegram?
Ransomware weekoverzicht week 38 - 2020
Nu de scholen over de hele wereld weer gestart zijn, blokkeren ransomware criminelen hen met cyberaanvallen die het begin van het schooljaar verstoren.
Cybercrime nieuwsbrief 124 (week 38-2020)
Alle het nieuws »
Datalek nieuws en overzicht week 38-2020
Bij een 'datalek' gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens bij een organisatie. Of om vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens en verlies van (toegang tot) persoonsgegevens.
Gedigitaliseerde oplichting / misdaad overzicht week 38-2020
Inschrijven wekelijkse nieuwsbrief »