Zo misbruiken cybercriminelen de oorlog in Oekraïne
Analyse door Infoblox van Q1 2022 toont dat criminelen volop gebruikmaken van oorlog in Oekraïne om systemen aan te vallen
19 mei 2022 -
Cybercriminelen grijpen hun kans om misbruik te maken van de oorlog in Oekraïne. Dit blijkt uit een analyse door Infoblox, waarin de activiteit van criminelen in het eerste kwartaal van 2022 onder de loep werd genomen. De belangrijkste conclusie: goedbedoelende Nederlanders lopen risico gehackt of opgelicht te worden.
Sinds de Russische invasie van Oekraïne op 24 februari 2022 staat cybercriminaliteit steeds meer in het teken van deze oorlog. Zo zag Infoblox in de dagen na de 24e een sterke stijging in het aantal nieuwe domeinnamen voor niet alleen legitieme hulpacties, maar ook frauduleuze websites - opgericht om mensen geld af te troggelen.
Daarnaast werd ook ingezet op social engineering. Dit is wanneer criminelen geen systemen, maar mensen ‘hacken’ door in te spelen op hun nieuwsgierigheid, angst of goedgelovigheid. Een aanbod van gratis cadeaubonnen, de vraag om donaties - kortom, alles wat gebruikers kan aanzetten om persoonsgegevens te delen of betalingen te doen.
Tot slot zag Infobox ook meer ‘malspam’-campagnes, waarmee gebruikers worden verleid om een kwaadaardig bestand te downloaden dat vervolgens malware installeert. Infoblox detecteerde onder meer campagnes rondom de trojans Agent Tesla en Remcos. Daarmee kunnen criminelen een grote verscheidenheid aan informatie verzamelen, van wat er zich op het beeldscherm van de gebruiker afspeelt tot het toetsenbordgebruik.
Malafide campagnes
Concreet werden onder andere de volgende malafide campagnes gedetecteerd:
Op 15 januari werd bekend dat Whispergate malware werd gebruikt tegen organisaties in Oekraïne.
Op 23 februari werd bericht dat HermeticWiper-malware werd ingezet tegen organisaties in Oekraïne.
De Russische invasie van Oekraïne op 24 februari zorgde voor een duidelijke toename van het aantal nieuwe Oekraïne-gerelateerde domeinnamen. Aanvullende analyse onthulde veel frauduleuze inzamelingsacties.
Op 1 maart werd een malspam-campagne gedetecteerd rond berichtgeving over de oorlog in Oekraïne. De malspam-campagne probeerde gebruikers te verleiden tot het downloaden van een ZIP-bestandsbijlage waarmee de Agent Tesla keylogger werd geïnstalleerd.
Op 2 en 3 maart werd een malspam-campagne waargenomen waarin berichten werden gebruikt die verband hielden met de Russische invasie in Oekraïne. Deze malspam-campagne probeerde gebruikers te verleiden tot het openen van een bijgevoegd .xlsx-bestand dat de Remcos-trojan (RAT) voor toegang op afstand downloadt.
In het weekend van 19 maart werden meerdere e-mailspamcampagnes waargenomen. Oorlogsgerelateerde tekst verscheen in de onderwerpregel of in de body van de e-mails. In deze campagnes werden nepcadeaubonnen aangeboden, werd voorschotfraude gepleegd, of werd gevraagd om donaties
"Cybercriminelen houden het nieuws nauwlettend in de gaten en reageren bliksemsnel als ze kansen zien," zegt Aric Ault, Regional Director Northern Europe bij Infoblox. "Of het nu social engineering, malware, of een ander type aanval betreft, het doel blijft hetzelfde: het stelen van bruikbare gegevens en, in het geval van de oorlog in Oekraïne, om er financieel beter van te worden. Het is dus verstandig om extra voorzichtig te zijn wanneer je door crises en nieuwsfeiten op een website terecht komt van een onbekende organisatie die om geld of persoonlijke informatie vraagt."