Populairste malware februari 2023: Remcos Trojan betrokken bij cyberspionageoperaties tegen de Oekraïense regering

Check Point Software, leve­ran­cier van cyber­be­vei­li­gings­op­los­singen, heeft zijn Global Threat Index voor februari 2023 gepu­bli­ceerd. Vorige maand keerde de Remcos Trojan voor het eerst sinds december 2022 terug in de top tien, dit nadat er berichten rond­gingen dat de Trojan gebruikt werd om Oekra­ïense over­heids­in­stan­ties aan te vallen via phishing. Onder­tussen stegen wereld­wijd Emotet Trojan en Formbook Infos­te­aler op de ranglijst en namen respec­tie­ve­lijk de tweede en derde plaats in, terwijl onderwijs/​onderzoek de meest aange­vallen sector bleef.

Hoewel onder­zoe­kers tussen oktober 2022 en februari 2023 een daling van 44 procent in het gemid­delde aantal weke­lijkse aanvallen per orga­ni­satie vast­stelden, blijft Oekraïne na de Russische invasie een populair doelwit voor cyber­cri­mi­nelen. In de meest recente campagne deden aanval­lers zich voor als Ukrte­lecom in een massale e‑maildistributie, waarbij ze een scha­de­lijke RAR-bijlage gebruikten om de Remcos Trojan te verspreiden. Eenmaal geïn­stal­leerd opent de tool een achter­deur op het gecom­pro­mit­teerde systeem, waardoor de hacker op afstand volledige toegang krijgt tot data alsook de moge­lijk­heid om commando’s uit te voeren. Er wordt aange­nomen dat de lopende aanvallen verband houden met cyber­spi­o­nage-operaties vanwege de gedrags­pa­tronen en de offen­sieve aard van de incidenten.

Check Point Research (CPR), de Threat Intel­li­gence-tak van Check Point, onthulde ook dat ‘Web Servers Malicious URL Directory Traversal’ de meest gebruikte kwets­baar­heid was, met gevolgen voor 47 procent van de orga­ni­sa­ties wereld­wijd. Op de tweede plek staat ‘Web Server Exposed Git Repo­si­tory Infor­ma­tion Disclo­sure’, dat 46 procent van de orga­ni­sa­ties wereld­wijd trof, terwijl ‘Apache Log4j Remote Code Execution’ de derde meest gebruikte kwets­baar­heid was, met een wereld­wijde impact van 45 procent.

Malware België

Wereld­wijd was vorige maand Qbot (7,2 procent) de meest voor­ko­mende malware, gevolgd door Formbook (4,6 procent) en op de derde plaats Emotet (3,9 procent). In de Belgische top 3 zien we dezelfde namen terug, maar in een andere volgorde. Wat opvalt is dat Emotet in België bovenaan staat met een impact van 8,7 procent, dit is een stuk (4,8 procent) hoger dan de wereld­wijde impact van deze Trojan. De Belgische top 3 ziet er als volgt uit:

1. Emotet (8,7 procent). Emotet is een geavan­ceerde, zichzelf versprei­dende en modulaire Trojan. Emotet werd vroeger ingezet als een banking Trojan, maar wordt sinds kort gebruikt als verspreider van andere malware. Deze Trojan gebruikt meerdere methoden en tech­nieken om detectie te vermijden. Daarnaast kan hij worden verspreid via phishing e‑mails met scha­de­lijke bijlagen of links.

2. Qbot (7,6 procent). Qbot AKA Qakbot is een banking Trojan die voor het eerst verscheen in 2008. Hij werd ontworpen om bank­ge­ge­vens of toet­sen­bord-aanslagen te stelen en wordt vaak verspreid via spam e‑mails. Qbot maakt gebruik van verschil­lende anti-VM, anti-debugging en anti-sandbox tech­nieken om analyse te belem­meren en detectie te ontwijken.

3. FormBook (5,2 procent). FormBook is een Infos­te­aler gericht op Windows en werd voor het eerst gede­tec­teerd in 2016. Deze Malware wordt voor een relatief lage prijs aange­boden als Malware as a Service (MaaS) op hacking forums en heeft sterke ontwij­kings­tech­nieken. Formbook oogst refe­ren­ties van verschil­lende webbrow­sers, verzamelt screenshots, contro­leert en logt toet­sen­bord-aanslagen en kan bestanden down­lo­aden en uitvoeren.

“Hoewel het aantal politiek gemo­ti­veerde aanvallen op Oekraïne is afgenomen, blijft het een strijd­to­neel voor cyber­cri­mi­nelen. Hack­ti­visme staat hoog op de agenda van hackers sinds het begin van de Russisch-Oekra­ïense oorlog. Versto­rende aanvals­me­thoden die veel publi­ci­teit generen zoals DDoS-anvallen krijgen vaak de voorkeur. Maar bij de meest recente campagne werd een meer tradi­ti­o­nele aanvals­route gebruikt, waarbij gebruik werd gemaakt van phishing om gegevens te bemach­tigen”, zegt Zahier Madhar, security engineer expert bij Check Point Software in België. “Het is belang­rijk dat alle orga­ni­sa­ties en over­heids­in­stan­ties de juiste veilig­heids­prak­tijken volgen bij het ontvangen en openen van e‑mails. Download geen bijlagen zonder eerst de eigen­schappen te bekijken. Vermijd daarnaast het klikken op links in de body van een e‑mail en contro­leer altijd het afzen­der­adres op afwij­kingen zoals extra tekens of spelfouten.”

Het volledige malware-overzicht van februari is te vinden op de Check Point blog.