Het beveiligingsbedrijf ESET heeft meerdere types wiper-malware gevonden in Oekraïense systemen. Wiper-malware is een type malware dat schade aanricht aan een systeem, zichzelf vervolgens verwijdert en zijn sporen uitwist. Het idee is dat onderzoekers de malware dan niet kunnen vinden of kunnen herleiden tot een bron.
Grote malware aanval
In de dagen voor de Russische invasie werd Oekraïne ook getroffen door een grote malware aanval. Volgens Dave Maasland van Eset is deze tweede aanval begonnen in de dagen na de invasie. Het zou gaan om een goed voorbereide en gecoördineerde aanval. 'Wat helemaal interessant is aan deze tweede variant, is dat de aanvallers live aan het meekijken waren met de malware om hem te verbeteren.'
Deze tweede aanval is volgens Maasland veel doelbewuster dan de vorige aanval. 'Waar die eerste aanval nog best wel breed was, op IT-bedrijven, financiële instellingen, lijkt die tweede aanval echt gericht om Oekraïense overheidsinstellingen kapot te maken.'
Hoewel het niet te bewijzen is waar de aanval vandaan komt, gaat Maasland, gezien de aard van het doelwit, er vanuit dat de aanval uit Rusland komt. Tegelijkertijd benadrukt Maasland dat het niet vast te stellen is of het hier gaat om een aanval door de Russische veiligheidsdiensten of door hackersgroepen die sympathiseren met Rusland.
HermeticWiper
Eerder vond het bedrijf al HermeticWiper en nu heeft het ook IsaacWiper aangetroffen in Oekraïense systemen. ESET geeft aan niet te weten hoe de HermeticWiper precies binnenkomt in een systeem. Eenmaal binnen ziet het bedrijf wel dat de malware via Active Directory wordt uitgerold over netwerken.
De wiper maakt het systeem onbruikbaar door data over te schrijven. Tegelijkertijd wordt de ransomware HermeticRansom ingezet. De onderzoekers vermoeden dat dit wordt gedaan om de activiteiten van de wiper zoveel mogelijk te verhullen.
Naast de wiper en de ransomware-elementen wordt er ook een wormcomponent ingezet, deze noemen ze HermeticWizard. De worm zorgt ervoor dat de wiper zich kan verspreiden via het lokale netwerk en zo nog meer systemen kan aanvallen.
De malware combineert dus een wiper met ransomware en een worm. Het gaat dus om erg vernuftige aanvallen.
ESET geeft aan de wiper bij zeker vijf bedrijven te hebben aangetroffen.
Tweede variant
Naast de HermeticWiper heeft ESET nu dus nog een vergelijkbaar type malware gevonden, genaamd IsaacWiper. Deze malware zou zich vooral richten op overheidsinstellingen in Oekraïne.
De code van IsaacWiper lijkt minder geavanceerd dan die van HermeticWiper. Ook van IsaacWiper is niet bekend hoe het de systemen binnenkomt. Wel zou de malware al sinds oktober op sommige systemen staan. Pas op 24 februari heeft de malware ook daadwerkelijk toegeslagen.
ESET zegt dat de malware enkele uren voor de Russische invasie van Oekraïne toesloeg. Hoewel het dan makkelijk lijkt om deze twee zaken aan elkaar te verbinden, geeft ESET aan dat ze onvoldoende bewijs hebben om publieke uitspraken te doen over de herkomst van de malware.
Waarschuwingen voor Nederland
Het Nationaal Cyber Security Centrum heeft deze week gewaarschuwd dat de malware die in Oekraïne opduikt ook kan overslaan naar bijvoorbeeld Nederland. Maasland waarschuwt dat bedrijven in Nederland zich dan ook moeten voorbereiden op het risico dat het digitale conflict kan escaleren.
Het bekendste voorbeeld hiervan zijn de NotPetya-aanvallen die in 2017 wereldwijd computernetwerken uitschakelden, waaronder containerterminals van de Rotterdamse haven. De aanval kwam volgens Groot Brittannië en de Verenigde Staten van het Russische leger en begon in Oekraïne.
Doordat Nederland grote delen van de vitale infrastructuur in vergaande mate heeft gedigitaliseerd, loopt Nederland volgens Maasland een groot risico. Daar komt bij dat volgens verschillende rapporten van onder meer de Cyber Security Raad, de Wetenschappelijke Raad voor Regeringsbeleid en de NCTV de vitale infrastructuur niet voldoende is beschermd tegen cyberaanvallen. 'Laten we geen paniek zaaien, maar reken er maar op dat onze veiligheidsdiensten in opperste staat van paraatheid zijn.'
Bron: bnr.nl, welivesecurity.com, vpngids.nl
Bekijk alle vormen en begrippen
Meer rapporten bekijken of downloaden
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer malware nieuws
'Emotet-vaccin' heeft afgelopen maanden de wereld rondgereisd
Meestal is het bestrijden van malware een verloren spel. Malware criminelen creëren hun code, distribueren payloads naar slachtoffers via verschillende methoden, en tegen de tijd dat beveiligingsbedrijven hun achterstand inhalen, brengen aanvallers kleine wijzigingen aan in hun code om snel hun voordeel in geheimhouding te herwinnen.
Top 10: Malware | Kwetsbaarheden
Cybersecurity bedrijf Check Point constateert een sterke toename van het Emotet-botnet dat spamcampagnes verspreidt na een periode van inactiviteit, met als doel bankgegevens te stelen en zich te verspreiden binnen gerichte netwerken.
Amerikaanse overheid beschuldigd China van malware aanvallen
De Amerikaanse autoriteiten hebben de Chinese overheid gisteren beschuldigd van het uitvoeren van aanvallen met de 'Taidoor-malware'. Een 'Remote Access Trojan (RAT)' waarmee op afstand toegang tot systemen kan worden verkregen. De waarschuwing is afkomstig van het Cybersecurity and Infrastructure Security Agency (CISA) van het ministerie van Homeland Security.
Nieuwe vorm van Android-malware in de criminele onderwereld
Android-apps die het doelwit zijn van deze nieuwe trojan 'BlackRock' zijn onder meer bankier-, dating-, sociale media- en instant messaging-apps.
Google Play Store Apps veranderen na update in Malware
Bij deze methode wordt een schone versie van de app geüpload naar de Play Store om het vertrouwen van gebruikers te winnen en later voegen ze in het geheim kwaadaardige code toe via app-updates.
Financiële technologische bedrijven doelwit van APT hackers groep
Cybercrime onderzoekers publiceren een diepgaande analyse in de activiteiten van Evilnum, de APT-groep achter de 'Evilnum-malware'.
Nieuwe Mac-ransomware 'EvilQuest' verspreidt zich via illegale software
Een Twitter-gebruiker die aan de slag ging @beatsballert stuurde gisteren een bericht naar Malwarebytes.com nadat hij hoorde van een ogenschijnlijk kwaadaardig Little Snitch-installatie programma.
Gevaarlijke nieuwe Lucifer malware in omloop
Onderzoekers van Unit 42 hebben een nieuwe variant van hybride cryptojacking-malware ontdekt.
Cybercriminelen gebruiken captcha om detectie malware te omzeilen
Jarenlang gebruikten bedrijven captcha's om spammers en andere aanvallers buiten de deur te houden, maar nu hebben onderzoekers een aanval ontdekt waarbij criminelen captcha's gebruiken om de automatische analyse van hun malware te voorkomen. Microsoft bericht op Twitter over de aanvallen van een specifieke groep die het begin juni en afgelopen week waarnam.
'Elke 7,5 seconden verschijnt er een nieuwe malware Android-app'
Deze week heeft G Data CyberDefense weer zijn jaarlijkse mobile malware analyse uitgebracht. Hieruit blijkt dat er opnieuw een negatief record is aan Android-malware. Het afgelopen jaar identificeerden experts maar liefst 4.18 miljoen nieuwe schadelijke Android-malware apps. Vorig jaar was er ook al een record te melden en lag de hoeveelheid op 4.12 miljoen.
Top 10 Malware April 2020
Top 10 Malware-samenstelling was redelijk consistent met maart 2020 met uitzondering van Bolek en Brambul.
Nieuwe versie van ComRAT malware maakt verbinding met Gmail-webinterface
Een gevaarlijk nieuwe versie van de ComRAT-malware is instaat om verbinding te maken met de Gmail-webinterface om opdrachten te ontvangen en gegevens te exporteren.