Beveiligingnieuws Logo

Onze partners

Nenova

Oribi ID Solutions

Add Secure

Distri Company

G4S

MOBOTIX

Eagle Eye Networks

Aritech

Intrasec

Brivo

Network Optix

Uniview

Bydemes

IDIS

Alphatronics

SOBA

VBN

NIBHV

Kidde Commercial

Hanwha Vision Europe

SmartCell

VAIBS

ASSA ABLOY

Hikvision

VEB

Traka ASSA ABLOY

Service Centrale Nederland

Optex

Paraat

Regio Control Veldt

Advancis

Connect Security

Akuvox

OSEC

Genetec

VVNL

Alarm Meldnet

Bosch Security Systems

VGN Group

Milestone

Ajax Systems

Crown Security Services

VideoGuard

ASIS

i-Pro

Multiwacht

ARAS

HD Security

BHVcertificaat.online

EAL

Masset

Sequrix

CDVI

Centurion

HID

Dero Security Products

Seris

Securitas

Secusoft

Paxton

Avigilon Alta

Gold-IP

Lobeco

Eizo

CSL

NetworxConnect

SmartSD

Top Security

Unii

2N

Trigion

PG Security Systems

SMC Alarmcentrale

ADI

Seagate

Cybercriminelen misbruiken donatiecampagnes voor Oekraïne

9 maart 2022
Redactie
07:30

Maandag werd ruim 100 miljoen euro gedoneerd aan organisaties die de slachtoffers van de oorlog in Oekraïne helpen. Helaas trekt een dergelijk financieel succes altijd weer criminelen aan, die voor eigen gewin een graantje willen meepikken. Infoblox ontdekte dat dit op grote schaal gebeurt.

Het aantal nieuwe, Oekraïne-gerelateerde domeinnamen is significant gestegen, zo blijkt uit een analyse door de Threat Intelligence Group van securityspecialist Infoblox. Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan meer dan twee keer zoveel domeinen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen. Maar cybercriminelen maken gebruik van deze behoefte om te helpen en hebben sites opgezet die deze hulpacties nabootsen of spoofen om crytovaluta buit te maken. Daarnaast is recentelijk een spamcampagne geïdentificeerd die de Agent Tesla keylogger installeert.

Uitvoerige analyse
Infoblox heeft daarom een uitvoerige analyse gedaan, met een uitgebreide lijst van Indicators of Compromise (IoC) als resultaat. Omdat een aantal van deze IoC’s ook legitieme websites kunnen raken – zoals wanneer naar simpele externe formulieren wordt gelinkt – is tevens een handmatige analyse van tientallen nieuwe domeinnamen uitgevoerd. Daarbij werden aanvullende indicatoren geïdentificeerd om frauduleuze van legitieme websites te onderscheiden, zoals crypto-adressen zonder transactiegeschiedenis en claims van domeinnamen die niet publiekelijk te valideren zijn. Ook werden kruisverwijzingen met onderzoek van andere security-organisaties gevonden, evenals transacties naar andere recent geregistreerde domeinen en meerdere, recent opgezette websites die vanaf eenzelfde IP-adres worden gehost.
Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes, die of leiden naar malafide websites of bijlagen met malware bevatten. Zo werd een week na het start van de invasie een malspam-campagne geïdentificeerd met een ZIP-bijlage die de Agent Tesla keylogger bevat.

Betere beveiliging
IT-teams kunnen hun netwerken op enkele manieren beter beveiligen tegen dit soort cybercrime. Zo kunnen zij het gebruik van Tor-netwerken verbieden voor niet-kritieke bedrijfsprocessen, API-verzoeken naar messaging- en CDN-diensten monitoren en browsers verbieden credentials en andere gevoelige informatie op te slaan. Verder gelden de reguliere security-adviezen.
Infoblox raadt iedereen aan om niet zomaar op links naar sites of bijlagen te klikken en de legitimiteit van de links vooraf te verifiëren. Sommige sites kunnen dienen als dekmantel voor criminele groeperingen, waarmee spyware op apparaten kan worden geïnstalleerd en persoonsgegevens kunnen worden verzameld. Voor zakelijke omgevingen geldt dat IT-teams extra waakzaam moeten zijn op verdacht gedrag binnen hun netwerken.

Criminelen hebben zich voorbereid
“Deze fraudepraktijken tonen aan dat cybercriminelen nauwlettend het nieuws in de gaten houden en bliksemsnel reageren als ze hun kans schoon zien”, zegt dr. Renee Burton, Senior Director Threat Intelligence bij Infoblox en voorheen werkzaam bij het Amerikaanse ministerie van Defensie. “Een aantal malafide hulpsites werd binnen een dag na de invasie geactiveerd. Verschillende domeinen werden in de weken ervoor geregistreerd, wat erop wijst dat criminelen zich hebben voorbereid. Hoewel de voorkeur uitging naar cryptovaluta, vroegen de criminelen ook om bijdragen via creditcards en bankrekeningen. Ook in de Agent Tesla-campagne gebruiken criminelen de crisis om gebruikersgegevens en financiële informatie te stelen.”

Deel dit artikel via:

Vlog

Premium partners

Distri Company

Videoguard

Suricat

SequriX

Seagate

Artitech Kidde Commercial

Wordt een partner