FakeUpdates populairste malware wereldwijd en in Nederland

FakeUpdates (ook bekend als SocGholish) is een downloader-malware die voor het eerst werd ontdekt in 2018. De malware verspreidt zich via zogenaamde “drive-by downloads” op gecompromitteerde of kwaadaardige websites en probeert gebruikers ertoe te verleiden een valse browserupdate te installeren. FakeUpdates wordt gelinkt aan de Russische hackgroep Evil Corp en wordt gebruikt om na de eerste besmetting extra malware op het systeem te installeren.

Complexere campagnes
Onderzoekers ontdekten deze maand een geavanceerde malwarecampagne in meerdere fasen waarbij AgentTesla, Remcos en Xloader (een evolutie van FormBook) werden ingezet. De aanval begint met phishingmails die eruitzien als bestelbevestigingen en slachtoffers aanzetten tot het openen van een kwaadaardig 7-Zip-archief. Dit archief bevat een JScript Encoded (.JSE)-bestand dat een Base64-gecodeerd PowerShell-script uitvoert. Dat script lanceert vervolgens een tweede executable in .NET of AutoIt. De uiteindelijke malware wordt geïnjecteerd in legitieme Windows-processen zoals RegAsm.exe of RegSvcs.exe, wat de detectie sterk bemoeilijkt.

Deze bevindingen illustreren een opvallende trend in het cyberlandschap, namelijk de manier waarop eenvoudige, goedkope malware – zoals AgentTesla en Remcos – nu wordt ingezet binnen complexe, meerlagige aanvalscampagnes. Waar deze tools vroeger vooral gebruikt werden voor rechttoe-rechtaan financiële aanvallen, worden ze nu slim gecombineerd met technieken die typisch zijn voor statelijke actoren, zoals versleutelde scripts, misbruik van legitieme Windows-processen en zorgvuldig opgebouwde phishingaanvallen. Daardoor vervaagt de grens tussen criminele en geopolitiek gemotiveerde cyberaanvallen, en wordt detectie en toewijzing bemoeilijkt.

“Deze nieuwste campagne toont de toenemende complexiteit van cyberdreigingen. Aanvallers combineren gecodeerde scripts, legitieme processen en obscure uitvoeringsketens om detectie te vermijden. Wat ooit als eenvoudige malware gold, wordt nu ingezet in hoogstaande operaties. Organisaties moeten inzetten op preventie, met realtime dreigingsinformatie, AI en gedragsanalyse”, zegt Lotem Finkelstein, Director Threat Intelligence bij Check Point Software.

Top ransomwaregroepen
De gegevens zijn afkomstig van “shamesites” van dubbele afpersingsgroepen. Akira is deze maand de meest actieve ransomwaregroep en verantwoordelijk voor 11% van de gemelde aanvallen. SatanLock en Qilin volgen elk met 10%.

Akira: voor het eerst gerapporteerd begin 2023. Het richt zich op Windows- en Linux-systemen en gebruikt symmetrische encryptie (CryptGenRandom en Chacha 2008). Lijkt op gelekte Conti v2-ransomware. Verspreiding via geïnfecteerde bijlagen of VPN-exploits. Na besmetting worden bestanden versleuteld en voorzien van de extensie “.akira” met bijhorende losgeldbrief.

SatanLock: nieuwe ransomwaregroep, actief sinds april. Heeft al 67 slachtoffers gepubliceerd. Meer dan 65% daarvan werd eerder al door andere actoren genoemd.

Qilin (Agenda): een criminele Ransomware-as-a-Service-operatie. Werkt samen met affiliates om data te versleutelen en exfiltreren. Het werd voor het eerst gedetecteerd in juli 2022, ontwikkeld in Golang. De groep richt zich op grote ondernemingen, vooral in de zorg en het onderwijs, en dringt systemen binnen via phishingmails met kwaadaardige links.

Meest aangevallen sectoren

Voor de derde maand op rij blijft de onderwijssector wereldwijd het voornaamste doelwit, door het brede gebruikersbestand en doorgaans zwakkere beveiliging. Overheden en telecomsector volgen, wat de blijvende focus op kritieke infrastructuur onderstreept.

In Nederland ziet de top 3 meest aangevallen sectoren er als volgt uit:

Gezondheidszorg
Media en entertainment
Industriële productiesector

De data van april toont een toename van heimelijke, meerlagige malwarecampagnes en een blijvende focus op sectoren met lagere cyberverdediging. FakeUpdates blijft de meest voorkomende dreiging, en nieuwe ransomwaregroepen zoals SatanLock winnen terrein. Organisaties moeten inzetten op proactieve, gelaagde beveiliging om evoluerende aanvallen voor te blijven.