door Peter Vos | 26 mei, 2025 | Nieuws |
De recente ontdekking van een malafide versie van de populaire wachtwoordmanager KeePass, verspreid via advertenties op Microsoft Bing, benadrukt de ernstige risico’s die organisaties lopen bij het onzorgvuldig downloaden van software. Criminelen hebben maandenlang deze techniek gebruikt om zowel een werkende versie van KeePass als schadelijke malware te verspreiden, wat uiteindelijk leidde tot een ransomware-aanval bij een slachtoffer. Dit incident toont aan hoe belangrijk het is om extra voorzichtig te zijn met software die al dan niet buiten de officiële kanalen wordt gedownload.
Hoe de KeePass aanval plaatsvond
De kwaadaardige versie van KeePass bevatte niet alleen de legitieme software voor het beheren van wachtwoorden, maar ook een component die aanvullende malware op het systeem installeerde. Het grootste risico was dat deze malafide versie het mogelijk maakte om inloggegevens uit de wachtwoordmanager van slachtoffers te stelen, waardoor de aanvallers toegang kregen tot gevoelige informatie.
In een specifiek geval leidde de infectie tot een ransomware-aanval op de VMware ESXi-servers van een organisatie, wat resulteerde in ernstige verstoringen. Dit incident benadrukt de mogelijkheid dat malafide software niet alleen schadelijke bestanden bevat, maar ook direct kan bijdragen aan de verspreiding van andere vormen van malware, zoals ransomware.
Wat de aanval met malafide software bijzonder maakt
Wat deze aanval extra zorgwekkend maakt, is het feit dat de malafide KeePass-versie met een geldig certificaat was ondertekend. Dit maakt het voor veel organisaties moeilijker om de software te herkennen als verdacht, aangezien het certificaat een teken van legitimiteit biedt. Dit is de eerste keer dat een getrojaniseerde wachtwoordmanager op deze manier wordt ingezet voor het laden van aanvullende malware en het stelen van inloggegevens, wat de complexiteit van dergelijke aanvallen vergroot.
Wat je kunt doen om je te wapenen tegen malafide software
Dit incident benadrukt de noodzaak voor organisaties om gedownloade software zorgvuldig te verifiëren, zelfs als deze afkomstig lijkt te zijn van vertrouwde bronnen. Het gebruik van software van officiële kanalen, het regelmatig controleren van certificaten, en het implementeren van effectieve beveiligingsmaatregelen zoals anti-malware software zijn essentiële stappen om de kans op dergelijke aanvallen te minimaliseren.
Wees dus op je hoede voor fake software
De verspreiding van malafide software via advertenties is een groeiend probleem, en de incidenten met de getrojaniseerde KeePass-versie zijn slechts het begin van een potentieel bredere dreiging. Organisaties moeten zich bewust zijn van deze risico’s en maatregelen treffen om hun systemen en gegevens te beschermen tegen dergelijke aanvallen. Het is van cruciaal belang om de herkomst van gedownloade software te controleren en te investeren in robuuste beveiligingsprotocollen om te voorkomen dat de systemen worden gecompromitteerd.
door Peter Vos | 10 nov, 2022 | Nieuws |
1 op de 5 cyberdreigingen die tussen juni en eind september 2022 zijn gedetecteerd, vormden een hoger risico, vergeleken met slechts 1 op de 80 in januari
Uit gegevens van Securitybedrijf Barracuda blijkt dat tussen juni en september succesvolle Microsoft 365-logins vanuit een verdacht land de meest voorkomende dreigingen waren (goed voor 40% van de aanvallen), gevolgd door communicatie vanuit het netwerk naar een bekend gevaarlijk IP-adres (15% van de aanvallen) en pogingen tot brute force authenticatie van gebruikers (10%). Onderzoekers hebben aan de hand van gegevens uit Barracuda’s XDR-platform en Security Operations Centre (SOC) onderzocht hoe volume en de ernst van dreigingen zich dit jaar hebben ontwikkeld, waarbij vooral is gekeken naar de zomermaanden.
Tot nu toe gedetecteerde bedreigingen in 2022
In januari 2022 piekte het aantal gedetecteerde dreigingen tot 1,4 miljoen, om vervolgens sterk te dalen met iets minder dan driekwart (71,4%.) Dit werd weerspiegeld door een tweede piek van 1,4 miljoen dreigingen in juni, die werd gevolgd door een vergelijkbare, maar meer geleidelijke daling in juli tot en met augustus.
Van dreigingsmeldingen naar waarschuwingen van klanten
Het beeld is anders als wordt gekeken naar hoeveel van deze dreigingsmeldingen hebben geleid tot een waarschuwing naar klanten, nadat de experts van Barracuda deze hadden onderzocht.
In januari was slechts ongeveer 1,25% van de dreigingsmeldingen, of 1 op de 80 (17.500), ernstig genoeg om een beveiligingswaarschuwing aan de klant te rechtvaardigen – maar in juni tot september steeg dit tot 1 op de 5 (96.428).
De dreigingsmeldingen van voor de zomer
Van de 476.994 meldingen die tussen juni en september door de experts van Barracuda zijn geanalyseerd, waren 96.428 (20%) ernstig genoeg om de klant te waarschuwen voor het potentiële gevaar en ze te adviseren om gepaste maatregelen te nemen.
De drie meest gedetecteerde dreigingen tussen juni en september waren:
1. Een succesvolle Microsoft 365 – login vanuit een verdacht land – geclassificeerd als ‘hoog risico’.
Dit type aanval was goed voor 40% van alle aanvallen die in de periode van 90 dagen tussen juni en eind september werden gedetecteerd. De landen daarbij die een automatische beveiligingswaarschuwing genereren zijn Rusland, China, Iran en Nigeria. Een succesvolle inbreuk op een Microsoft 365-account is bijzonder riskant omdat een indringer hiermee potentieel toegang heeft tot alle verbonden en geïntegreerde informatie die op het platform zijn opgeslagen. Analisten kijken onder meer naar bewijzen van logins vanuit meerdere landen op hetzelfde account, zoals een login vanuit het VK dat een uur later wordt gevolgd door een login vanuit Rusland of China. Slechts 5% van deze meldingen bleken uiteindelijk toch legitieme logins te zijn.
Dreigingen die gekwalificeerd worden als ‘hoog risico’ zijn events die mogelijk ernstige schade kunnen toebrengen aan de klantomgeving en die onmiddellijke actie vereisen.
2. Communicatie naar een IP-adres dat bekend is bij Threat Intelligence – ‘gemiddeld risico’.
Dit type aanval, goed voor 15% van alle aanvallen in deze periode, omvat iedere poging tot schadelijke communicatie vanaf een device binnen het bedrijfsnetwerk naar een website of een bekende command & control server, etc.
Een ‘gemiddeld risico’ vraagt om actie, maar heeft als op zichzelf staande gebeurtenis doorgaans geen grote gevolgen.
3. Poging tot ‘brute force’ authenticatie – ‘gemiddeld risico’
Deze dreiging is goed voor 10% van alle aanvallen en bestaat uit geautomatiseerde aanvallen die een organisatie proberen binnen te dringen door zoveel mogelijk combinaties van namen en wachtwoorden te gebruiken.
Wat betekenen deze gegevens?
Cyberaanvallers plegen vooral aanvallen wanneer de kans groot is dat er weinig IT- en securityspecialisten beschikbaar zijn bij bedrijven. Bijvoorbeeld in het weekend, ’s nachts of tijdens een vakantieperiode, zoals de zomer.
Dit blijkt uit de XDR-gegevens, die laten zien dat ondanks een algemene daling van het aantal dreigingen, een aanzienlijk groter deel van de dreigingen die tijdens de zomermaanden zijn gedetecteerd een hoger risico vormden.
Het is belangrijk om dit in gedachten te houden nu de feestdagen weer voor de deur staan, met veel vrije dagen.
Hier zijn enkele stappen die organisaties kunnen nemen om de risico’s te beperken:
1. Schakel multifactor authenticatie (MFA) in alle toepassingen en systemen
2. Zorg ervoor dat er back-ups worden gemaakt van alle kritieke systemen
3. Implementeer een robuuste securityoplossing die e-mailbescherming en Endpoint Detection and Response (EDR) omvat.
4. Zorg voor zichtbaarheid in de gehele IT-infrastructuur
5. Maakt gebruik van een 24×7 Security Operations Center (SOC) om te monitoren, dreigingen te detecteren en snel daarop te reageren
Het volume, de aard en de intensiteit van cyberdreigingen voor organisaties varieert in de loop van de tijd en weerspiegelt het veranderende gedrag van aanvallers, betere beveiligingsmethoden en betere informatie. Inzicht in deze trends kan organisaties helpen beter te anticiperen op aanvallen en hun verdediging beter in te richten.
