UNIT 42, de onderzoekstak van cybersecurityspecialist Palo Alto Networks, werkte het afgelopen jaar nauw samen met de Oekraïense cyberveiligheid (SCPC SSSCIP – State Cyber Protection Centre of the State Service of Special Communications and Information Protection of Ukraine) om de Smoke Loader malware te analyseren en een halt toe te roepen.
Tussen mei en december 2023 kon de veiligheidsdienst niet minder dan 23 aanvalsgolven afstoppen. Hiermee is Smoke Loader de meest gebruikte malware voor aanvallen op financiële instellingen in Oekraïne. Naar schatting verliest het land wekelijks 1 miljoen hryvnias (25.000 euro) aan de kwaadaardige software of één van zijn varianten.
Achterdeur
Smoke Loader is een zogenaamde backdoor voor Microsoft Windows software die erin slaagt authenticatieprocessen te omzeilen. Vaak wordt de software geïnstalleerd via phishing of kwetsbaarheden in de systemen. Eens de cybercriminelen binnen zijn, proberen ze gevoelige informatie, zoals financiële gegevens, te stelen en te misbruiken.
De malware zag het licht in 2011 en wordt vaak gelinkt aan Russische, criminele activiteiten. Smoke Loader luistert ook naar de naam Dofoil of Sharik en maakte sinds het begin van het decennium talloze slachtoffers onder Windows-gebruikers. De kwaadaardige software wordt vaak als voet in de deur gebruikt om andere aanvallen uit te voeren. Het Amerikaanse Cyber Defense Agency meldde onlangs bijvoorbeeld aanvallen met de Phobos ransomware waarbij ook Smoke Loader was ingezet.
Waakzaam
De malware is vandaag een gijzeling voor de Oekraïense financiële en overheidsinstellingen, maar beperkt zich zeker niet tot de landsgrenzen. Criminele groeperingen, waaronder ook natiestaten, maken misbruik van het conflict in Oekraïne om bedrijven en landen wereldwijd aan te vallen, onder andere met Smoke Loader.
UNIT 42 en de Oekraïense cyberveiligheid roepen bedrijven en instellingen daarom op om extra waakzaam te zijn en een goede cyberhygiëne te blijven onderhouden. Palo Alto Networks deelde de inzichten van het onderzoek met de leden van het Cyber Threat Alliancezodat ook zij snel actie konden ondernemen.
Lees het rapport van de Oekraïense veiligheid via de volgende link.
