FakeUpdates populairste malware wereldwijd en in Nederland
Cybercriminelen gebruiken eenvoudige malware steeds geavanceerder, waardoor ze moeilijker te onderscheiden zijn van actoren met politieke motieven

FakeUpdates populairste malware wereldwijd en in Nederland

Nieuws
Security
Redactie WINMAG Pro

FakeUpdates is de meest gebruikte malware wereldwijd, volgens het recente “Global Threat Index” onderzoek van Check Point Research. Het onderzoek toont aan dat ongeveer 6% van alle organisaties wereldwijd slachtoffer werd van een dergelijke aanval. Ook in Nederland voert FakeUpdates de lijst aan van meest populaire malware, met als opvolgers AndroxGh0st en AgentTesla. In Nederland zijn de gezondheidszorg, media & entertainment en de industriële productiesector de meest aangevallen sectoren.

FakeUpdates (ook bekend als SocGholish) is een downloader-malware die voor het eerst werd ontdekt in 2018. De malware verspreidt zich via zogenaamde “drive-by downloads” op gecompromitteerde of kwaadaardige websites en probeert gebruikers ertoe te verleiden een valse browserupdate te installeren. FakeUpdates wordt gelinkt aan de Russische hackgroep Evil Corp en wordt gebruikt om na de eerste besmetting extra malware op het systeem te installeren.

Complexere campagnes

Onderzoekers ontdekten deze maand een geavanceerde malwarecampagne in meerdere fasen waarbij AgentTesla, Remcos en Xloader (een evolutie van FormBook) werden ingezet. De aanval begint met phishingmails die eruitzien als bestelbevestigingen en slachtoffers aanzetten tot het openen van een kwaadaardig 7-Zip-archief. Dit archief bevat een JScript Encoded (.JSE)-bestand dat een Base64-gecodeerd PowerShell-script uitvoert. Dat script lanceert vervolgens een tweede executable in .NET of AutoIt. De uiteindelijke malware wordt geïnjecteerd in legitieme Windows-processen zoals RegAsm.exe of RegSvcs.exe, wat de detectie sterk bemoeilijkt.

Deze bevindingen illustreren een opvallende trend in het cyberlandschap, namelijk de manier waarop eenvoudige, goedkope malware – zoals AgentTesla en Remcos – nu wordt ingezet binnen complexe, meerlagige aanvalscampagnes. Waar deze tools vroeger vooral gebruikt werden voor rechttoe-rechtaan financiële aanvallen, worden ze nu slim gecombineerd met technieken die typisch zijn voor statelijke actoren, zoals versleutelde scripts, misbruik van legitieme Windows-processen en zorgvuldig opgebouwde phishingaanvallen. Daardoor vervaagt de grens tussen criminele en geopolitiek gemotiveerde cyberaanvallen, en wordt detectie en toewijzing bemoeilijkt.

Deze nieuwste campagne toont de toenemende complexiteit van cyberdreigingen. Aanvallers combineren gecodeerde scripts, legitieme processen en obscure uitvoeringsketens om detectie te vermijden. Wat ooit als eenvoudige malware gold, wordt nu ingezet in hoogstaande operaties. Organisaties moeten inzetten op preventie, met realtime dreigingsinformatie, AI en gedragsanalyse”, zegt Lotem Finkelstein, Director Threat Intelligence bij Check Point Software.

Top ransomwaregroepen

De gegevens zijn afkomstig van “shamesites” van dubbele afpersingsgroepen. Akira is deze maand de meest actieve ransomwaregroep en verantwoordelijk voor 11% van de gemelde aanvallen. SatanLock en Qilin volgen elk met 10%.
 

  • Akira: voor het eerst gerapporteerd begin 2023. Het richt zich op Windows- en Linux-systemen en gebruikt symmetrische encryptie (CryptGenRandom en Chacha 2008). Lijkt op gelekte Conti v2-ransomware. Verspreiding via geïnfecteerde bijlagen of VPN-exploits. Na besmetting worden bestanden versleuteld en voorzien van de extensie “.akira” met bijhorende losgeldbrief.
  • SatanLock: nieuwe ransomwaregroep, actief sinds april. Heeft al 67 slachtoffers gepubliceerd. Meer dan 65% daarvan werd eerder al door andere actoren genoemd.
  • Qilin (Agenda): een criminele Ransomware-as-a-Service-operatie. Werkt samen met affiliates om data te versleutelen en exfiltreren. Het werd voor het eerst gedetecteerd in juli 2022, ontwikkeld in Golang. De groep richt zich op grote ondernemingen, vooral in de zorg en het onderwijs, en dringt systemen binnen via phishingmails met kwaadaardige links.

Meest aangevallen sectoren

Voor de derde maand op rij blijft de onderwijssector wereldwijd het voornaamste doelwit, door het brede gebruikersbestand en doorgaans zwakkere beveiliging. Overheden en telecomsector volgen, wat de blijvende focus op kritieke infrastructuur onderstreept.

In Nederland ziet de top 3 meest aangevallen sectoren er als volgt uit:
 

  • Gezondheidszorg
  • Media en entertainment
  • Industriële productiesector

De data van april toont een toename van heimelijke, meerlagige malwarecampagnes en een blijvende focus op sectoren met lagere cyberverdediging. FakeUpdates blijft de meest voorkomende dreiging, en nieuwe ransomwaregroepen zoals SatanLock winnen terrein

Lees meer

Hoe maak je een Wordpress-website? De Beste Gids
Hoe maak je een Wordpress-website? De Beste Gids
Meta’s nieuwe spelregels vragen om bewuster internetgedrag
Meta’s nieuwe spelregels vragen om bewuster internetgedrag
Cybercrimegroepen zélf gehackt: reden tot juichen?
Cybercrimegroepen zélf gehackt: reden tot juichen?
Meer dan 250.000 cyberaanvallen vermomd als anime: Kaspersky waarschuwt Gen Z
Meer dan 250.000 cyberaanvallen vermomd als anime: Kaspersky waarschuwt Gen Z
Lleverage haalt €3 miljoen op: met AI van idee naar geautomatiseerd bedrijfsproces in minuten
Lleverage haalt €3 miljoen op: met AI van idee naar geautomatiseerd bedrijfsproces in minuten
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie