FakeUpdates populairste malware wereldwijd en in Nederland

FakeUpdates is de meest gebruikte malware wereldwijd, volgens het recente Global Threat Index onderzoek van Check Point Research. Ongeveer zes procent van alle organisaties wereldwijd werd slachtoffer van een dergelijke aanval. Ook in Nederland voert FakeUpdates de lijst aan van meest populaire malware, met als opvolgers AndroxGh0st en AgentTesla. In Nederland zijn de gezondheidszorg, media & entertainment en de industriële productiesector de meest aangevallen sectoren.

FakeUpdates (ook bekend als SocGholish) is een downloader-malware die voor het eerst werd ontdekt in 2018. De malware verspreidt zich via zogenaamde drive-by downloads op gecompromitteerde of kwaadaardige websites en probeert gebruikers ertoe te verleiden een valse browserupdate te installeren. FakeUpdates wordt gelinkt aan de Russische hackgroep Evil Corp en wordt gebruikt om na de eerste besmetting extra malware op het systeem te installeren.

Onderzoekers ontdekten deze maand een geavanceerde malwarecampagne in meerdere fasen waarbij AgentTesla, Remcos en Xloader (een evolutie van FormBook) werden ingezet. De aanval begint met phishingmails die eruitzien als bestelbevestigingen en slachtoffers aanzetten tot het openen van een kwaadaardig 7-Zip-archief. Dit archief bevat een JScript Encoded (.JSE)-bestand dat een Base64-gecodeerd PowerShell-script uitvoert. Dat script lanceert vervolgens een tweede executable in .NET of AutoIt. De uiteindelijke malware wordt geïnjecteerd in legitieme Windows-processen zoals RegAsm.exe of RegSvcs.exe, wat de detectie sterk bemoeilijkt.

Deze bevindingen illustreren een opvallende trend in het cyberlandschap, namelijk de manier waarop eenvoudige, goedkope malware – zoals AgentTesla en Remcos – nu wordt ingezet binnen complexe, meerlagige aanvalscampagnes. Waar deze tools vroeger vooral gebruikt werden voor rechttoe-rechtaan financiële aanvallen, worden ze nu slim gecombineerd met technieken die typisch zijn voor statelijke actoren, zoals versleutelde scripts, misbruik van legitieme Windows-processen en zorgvuldig opgebouwde phishingaanvallen. Daardoor vervaagt de grens tussen criminele en geopolitiek gemotiveerde cyberaanvallen, en wordt detectie en toewijzing bemoeilijkt.

Akira: voor het eerst gerapporteerd begin 2023. Het richt zich op Windows- en Linux-systemen en gebruikt symmetrische encryptie (CryptGenRandom en Chacha 2008). Lijkt op gelekte Conti v2-ransomware. Verspreiding via geïnfecteerde bijlagen of VPN-exploits. Na besmetting worden bestanden versleuteld en voorzien van de extensie “.akira” met bijhorende losgeldbrief.
SatanLock: nieuwe ransomwaregroep, actief sinds april. Heeft al 67 slachtoffers gepubliceerd. Meer dan 65% daarvan werd eerder al door andere actoren genoemd.
Qilin (Agenda): een criminele Ransomware-as-a-Service-operatie. Werkt samen met affiliates om data te versleutelen en exfiltreren. Het werd voor het eerst gedetecteerd in juli 2022, ontwikkeld in Golang. De groep richt zich op grote ondernemingen, vooral in de zorg en het onderwijs, en dringt systemen binnen via phishingmails met kwaadaardige links.