.



Grootschalige ontmanteling van botnets

Ransomware Energiebedrijf

Politiediensten, Eurojust en Europol kondigden Operation Endgame aan. Dit is een grootschalige poging om de infrastructuur van malware en botnets te verstoren en de betrokken personen te identificeren. In een persbericht noemde Europol het de ‘grootste operatie ooit tegen botnets die een cruciale rol spelen bij het verspreiden van ransomware’.

De infrastructuur van IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee en trickbot is, in samenwerking met partners uit de private sector waaronder Proofpoint, ontmanteld. Volgens Europol leidde de samenwerking tot vier arrestaties en het offline halen van meer dan honderd servers die in tien landen. Ook werden meer dan 2.000 geconfisqueerde domeinen en illegale goederen bevroren.

Operation Endgame

Onderzoekers van Proofpoint delen tijdens Operation Endgame hun technische expertise over de infrastructuur van botnet met de lokale autoriteiten. De onderzoekers ondersteunen zo bij het identificeren van patronen in de manieren waarop dreigingsactoren servers inzetten en het opsporen van nieuwe malware-infrastructuur tijdens de creatie hiervan. Verder draagt de expertise in reverse engineering van malware van Proofpoint bij aan het voorzien van wetshandhaving over het ontwerp en de code van de bots. Hierdoor is het mogelijk om deze veilig te herstellen. De unieke kennis zorgde ook voor het identificeren van de grootste en meest impactvolle malwarecampagnes. Autoriteiten hadden hierdoor inzichten in de dreigingen die grote gevolgen voor de samenleving hebben.

Hieronder volgt een overzicht van de verschillende betrokken malware:

Smokeloader

Smokeloader is een modulaire malware met verschillende stealer -en toegangsmogelijkheden die op afstand beschikbaar zijn. Het doel van deze malware is het installeren van follow-on payloads.

SystemBC

SystemBC is een proxy-malware en backdoor die SOCKS5 gebruikt. Aanvankelijk werd de malware geleverd door exploits, maar later werd het populair in Ransomware-as-a-Service activiteiten.

IcedID

IcedID Malware bestaat uit een initiële loader die contact maakt met een Loader C2-server. Vervolgens downloadt het de standaard DLL Loader en levert daarna de IcedID Bot. De malware wordt vaak gebruikt als payload door access brokers zoals TA511, TA551, en TA577 en TA544. IcedID is vaak de eerste stap tot ransomware, waarbij de malware dient als een first-stage payload in ransomware campagnes

Pikabot

Pikabot malware bestaat uit twee componenten: een loader en een kernmodule. Deze zijn ontworpen voor het uitvoeren van willekeurige opdrachten en het downloaden van extra payloads. Het doel van Pikabot is om vervolgmalware te downloaden en de favoriete payload van dreigingsactor TA577 (een van de meest geraffineerde en hardnekkige dreigingen).

Bumblebee

Bumblebee is een geavanceerde downloader met als doel het uitvoeren en downloaden van extra payloads. De downloader dropt payloads, waaronder Cobalt Strike, shellcode, Sliver en Meterpreter en de Bumblebee loader levert vervolgens follow-on ransomware af.

 

(bron: Proofpoint)

 

Lees ook
Toename van malware, fraude en phishingaanvallen met feestdagen als thema

Toename van malware, fraude en phishingaanvallen met feestdagen als thema

Proofpoint ziet een toename van aanvallen met feestdagen als thema, gericht op het verspreiden van malware, fraude en phishingcampagnes om vertrouwelijke gegevens te bemachtigen.

Black Friday: een gewaarschuwd mens telt voor twee

Black Friday: een gewaarschuwd mens telt voor twee

De Black Friday shopgekte is weer van start. Dit is voor veel mensen de aftrap van het winkelseizoen voor de feestdagen. Consumentenorganisaties waarschuwen voor webshops, zoals Temu, in verband met mogelijke privacy schendingen.

Cybercriminelen gebruiken foto’s van huizen om ‘sextortion’ e-mails te personaliseren

Cybercriminelen gebruiken foto’s van huizen om ‘sextortion’ e-mails te personaliseren

Uit een recent onderzoek van Barracuda blijkt dat cyberaanvallers namen, adressen en foto’s van de huizen van slachtoffers gebruiken om ‘sextortion’-aanvallen persoonlijker te maken. Zo proberen deze aanvallers de druk op hun slachtoffers op te voeren. Onderzoekers zagen ook dat de afpersingseisen inmiddels variëren