Ook tussen april en juni van dit jaar lieten hackers en cybercriminelen weer een verbazingwekkend arsenaal aan geavanceerde malware los. Dat blijkt uit het meeste recente kwartaaloverzicht van beveiliger Kaspersky.
Het rapport van Kaspersky bevat geen specifieke Belgische of Nederlandse cijfers over cyberaanvallen, maar biedt een globaal overzicht opgedeeld naar de taal van de aanvallers. Als ‘hoogtepunten’ noemt Kaspersky onder meer de aanvallen met WannaCry en ExPetr, twee ‘aanvallen zonder precedent’ uit Russische hoek. Opmerkelijk: uit de analyse ervan blijkt dat de code nog niet helemaal klaar was op het moment dat de exploits in het wild werden losgelaten, wat zeer ongewoon gedrag is voor aanvallers met goede resources.
Uit Rusland kwamen ook drie opmerkelijke zero-day exploits voor Windows, die het werk waren van de hackcollectieven Sofacy en Turla (ook bekend als APT28 en FancyBear). De exploits werden ingezet tegen een aantal Europese doelen, waaronder overheids- en politieke organisaties. In de aanloop van de verkiezingen in Frankrijk heeft Sofacy ook geëxperimenteerd met tools tegen een lid van een politiek partij.
Ook Engelstalige actoren lieten zich niet onbetuigd. Zo hield Kaspersky onder meer malware als Regin, Project Sauron, Equation en Gray Lambert (de nieuwste telg uit de Lambert-familie) onder de loep. Allen kwamen ze met nieuwe technieken om langdurig onder de radar te blijven. Met Gray Lambert is het volgens Kaspersky bijvoorbeeld mogelijk om met ‘chirurgische’ precisie een netwerk tot op het bot uit te vlooien en te besmetten.
Wat de Koreaans-talige cybercriminelen betreft, waren het vooral de Lazarus-groep en zijn subdivisie BlueNoroff die in de kijker liepen bij Kaspersky. Zij richten zich vooral op banken, bankautomaten en andere instanties die geld kunnen opbrengen. Een andere tool die ontdekt werd, luisterde naar de naam ‘Manuscrypt’ die zich richt op diplomatieke doelen in Zuid-Korea, maar even goed op virtueel geld en cybermunten.
Kant-en-klare kits
Uit het Midden-Oosten kwam er dit kwartaal relatief weinig activiteit, hoewel er wel twee nieuwe zero day exploits werden ingezet, onder meer door de groep BlackOasis meldt Kaspersky. Uit China liepen twee nieuwe stukken malware in de kijker. Een file-loze versie van de ‘HiKit’-malware die ‘Hias’ werd gedoopt en de nieuwe campagne ‘IndigoZebra’.
Als specifieke bedreigingen voor de toekomst noemt Kaspersky onder meer misleidende informatiecampagnes in landen waar verkiezingen worden gehouden. Ook de markt voor kant-en-klare spionagekits, zoals die vooral aan landen uit het Midden-Oosten worden aangeboden, zal blijven boomen. Van destructieve malware die zich als ransomware vermomd (zoals ExPetr) hebben we ook nog maar het begin gezien, denkt Kaspersky. Tot slot verwacht het bedrijf dat energieproducerende landen en organisaties meer en meer in het vizier zullen lopen. Landen als bijvoorbeeld Noorwegen en Saudi-Arabië lopen daarbij gevaar.
Het volledige rapport is hier beschikbaar.