FakeUpdates is meest verspreide malware ter wereld

FakeUpdates, ook wel bekend als SocGholish, is een downloader-malware die voor het eerst opdook in 2018. Deze malware verspreidt zich via zogenaamde "drive-by downloads" op gecompromitteerde of kwaadaardige websites en probeert gebruikers te misleiden door hen een valse browserupdate te laten installeren. FakeUpdates wordt gelinkt aan de Russische hackgroep Evil Corp en wordt gebruikt om na de eerste infectie aanvullende malware op het systeem te installeren.

Geavanceerde malwarecampagnes

Onderzoekers hebben deze maand een complexe malwarecampagne in meerdere fasen ontdekt, waarbij AgentTesla, Remcos en Xloader (een doorontwikkeling van FormBook) werden ingezet. De aanval begint met phishingmails die lijken op bestelbevestigingen en slachtoffers verleiden tot het openen van een kwaadaardig 7-Zip-archief. Dit archief bevat een JScript Encoded (.JSE)-bestand dat een Base64-gecodeerd PowerShell-script uitvoert. Dit script start vervolgens een tweede executable in .NET of AutoIt. De uiteindelijke malware wordt geïnjecteerd in legitieme Windows-processen zoals RegAsm.exe of RegSvcs.exe, wat de detectie aanzienlijk bemoeilijkt.

Check Point Research spreekt vann een opvallende trend zien in het cyberlandschap, waarbij eenvoudige en goedkope malware zoals AgentTesla en Remcos nu worden ingezet in complexe, meerlagige aanvalscampagnes. Waar deze tools vroeger vooral werden gebruikt voor directe financiële aanvallen, worden ze nu gecombineerd met technieken die typisch zijn voor statelijke actoren, zoals versleutelde scripts, misbruik van legitieme Windows-processen en zorgvuldig opgebouwde phishingaanvallen. Hierdoor vervaagt de grens tussen criminele en geopolitiek gemotiveerde cyberaanvallen, wat detectie en toewijzing bemoeilijkt.

Top ransomwaregroepen

De gegevens zijn afkomstig van "shamesites" van dubbele afpersingsgroepen. Akira is deze maand de meest actieve ransomwaregroep en verantwoordelijk voor 11% van de gemelde aanvallen. SatanLock en Qilin volgen elk met 10%.

Akira werd voor het eerst gerapporteerd begin 2023. Het richt zich op Windows- en Linux-systemen en gebruikt symmetrische encryptie (CryptGenRandom en Chacha 2008). De ransomware lijkt op de eerder uitgelekte Conti v2-ransomware en wordt verspreid via geïnfecteerde bijlagen of VPN-exploits. Na infectie worden bestanden versleuteld en voorzien van de extensie ".akira" met bijhorende losgeldbrief.

SatanLock is een nieuwe ransomwaregroep die actief is sinds april en al data van 67 slachtoffers heeft gepubliceerd. Meer dan 65% daarvan was eerder al doelwit van andere actoren. Qilin (Agenda) is een criminele Ransomware-as-a-Service-operatie. Het werkt samen met affiliates om data te versleutelen en te exfiltreren. De ransomware werd voor het eerst gedetecteerd in juli 2022 en is geschreven in Golang. De groep richt zich op grote ondernemingen, vooral in de zorg en het onderwijs, en dringt systemen binnen via phishingmails met kwaadaardige links.

Meest aangevallen sectoren

Voor de derde maand op rij blijft de onderwijssector wereldwijd het belangrijkste doelwit, vanwege het brede gebruikersbestand en doorgaans zwakkere beveiliging. Overheden en de telecomsector volgen, waaruit volgens onderzoekers de blijvende focus op kritieke infrastructuur blijkt.

In Nederland zien de top 3 meest aangevallen sectoren er als volgt uit:

1. Gezondheidszorg
2. Media en entertainment
3. Industrie

“Deze nieuwste campagne toont de toenemende complexiteit van cyberdreigingen. Aanvallers combineren gecodeerde scripts, legitieme processen en obscure uitvoeringsketens om detectie te vermijden. Wat ooit als eenvoudige malware gold, wordt nu ingezet in hoogstaande operaties. Organisaties moeten inzetten op preventie, met realtime dreigingsinformatie, AI en gedragsanalyse”, zegt Lotem Finkelstein, Director Threat Intelligence bij Check Point Software.