Kaspersky Lab onthult nieuwe manier om geldautomaten leeg te halen

Deze week vindt Kaspersky Lab’s 9e editie van de Security Analyst Summit (SAS) plaats. SAS brengt internationale security professionals, nationale en internationale wethandhavingsinstanties, overheidsinstellingen en senior executives uit het bedrijfsleven wereldwijd 1 keer per jaar samen. Naast de mogelijkheid om de meest recente IT-beveiligingsuitdagingen te bespreken, onthullen verschillende vooraanstaande security onderzoekers niet eerdere gepubliceerde onderzoeksresultaten. Tijdens de conferentie onthulde of verduidelijkte Kaspersky Lab een aantal cyber feiten. Hieronder een overzicht. 

ATMitch - Kaspersky Lab experts ontdekken een mysterieuze manier om een geldautomaat leeg te halen

Op een zekere dag ontdekte een bank dat hun geldautomaat was leeggehaald: er was geen geld meer, er waren geen sporen van een fysieke inbraak en er was ook geen malware gevonden. Experts van Kaspersky Lab gingen op onderzoek uit en ontdekten na enige tijd welke inbraakgereedschappen waren gebruikt en hoe de cybercriminelen de inbraak hadden uitgevoerd. Ze vonden malware die ATMitch werd gedoopt. Deze malware werd via een voorziening voor beheer op afstand geïnstalleerd op een geldautomaat van de bank. Vervolgens kon ATMitch met de automaat communiceren alsof het legitieme software was. Hierdoor konden de bankrovers opdrachten geven, bijvoorbeeld voor de uitgifte van bankbiljetten na een druk op de knop. Zo’n bankroof kost slechts enkele seconden! En zodra de geldautomaat is leeggehaald, wist de malware alle sporen.

ATM-615x360

Lees hier meer over ATMitch.

Moonlight Maze - Terug naar de oorsprong van APTs: een 20 jaar oude aanval blijkt nog relevant

Eind jaren negentig van de vorige eeuw werden de Verenigde Staten geteisterd door Moonlight Maze cyberspionage-aanvallen. Twee decennia later hebben onderzoekers de oorspronkelijke tools die voor de aanvallen werden gebruikt weten te achterhalen. Bovendien vonden zij een relatie met een moderne APT (advanced persistent threat). Onderzoekers van Kaspersky Lab en Kings College London waren op zoek naar een link tussen een moderne dreiging en de Moonlight Maze aanvallen op het Pentagon, NASA en andere instellingen, eind jaren negentig. Zij vonden toen samples, logs en restanten die afkomstig zijn van een stokoude APT. Deze vondsten laten zien dat een ‘achterdeur’ die in 1998 door Moonlight Maze werd gebruikt om informatie weg te sluizen, verband heeft met een achterdeur die in 2011 door Turla werd gebruikt en waarschijnlijk zelfs nu nog.

In 1998 stelden de FBI en het Amerikaanse ministerie van Defensie een grootschalig onderzoek in. Maar veel van het bewijsmateriaal is geheim gebleven, waardoor Moonlight Maze in mysterie gehuld bleef. Opmerkelijk is dat de code ervan nog steeds voor aanvallen wordt gebruikt. In maart 2017 ontdekten onderzoekers van Kaspersky Lab namelijk een nieuwe versie van de Penquin Turla, afkomstig van een systeem in Duitsland. Aan het eind van de vorige eeuw voorzag niemand het bereik en de hardnekkigheid van een gecoördineerde cyberspionagecampagne. Maar we moeten ons nu afvragen hoe het kan dat aanvallers nog steeds met succes antieke code kunnen gebruiken voor hun aanvallen.

Meer informatie en het volledige rapport vind je hier.

Kaspersky Lab ontdekt ransomware, specifiek gericht op bedrijven

Onderzoekers van Kaspersky Lab’s zien een alarmerende trend: steeds meer cybercriminelen vervangen aanvallen tegen individuele gebruikers voor doelgerichte ransomware-aanvallen tegen bedrijven. Onderzoekers hebben tenminste acht groepen gevonden die zich met de ontwikkelingen en distributie van dit soort ransomware bezighouden. Tot deze groepen behoren de makers van PetrWrap, die wereldwijd financiële instellingen hebben aangevallen, de beruchte Mamaba-groep en zes naamloze groepen die eveneens bedrijven aanvallen. De reden voor deze trend is duidelijk. Criminelen beschouwen doelgerichte ransomware-aanvallen als potentieel winstgevender dan massale aanvallen tegen individuele gebruikers.

Lees voor meer informatie de blog op securelist.com over ransomware tegen bedrijven.

Jacht op Lazarus om grote bankovervallen te voorkomen 

Kaspersky Lab heeft de resultaten vrijgegeven van een onderzoek naar de activiteiten van Lazarus, een beruchte groep hackers die verantwoordelijk zou zijn voor de beroving van de Central Bank of Bangladesh in 2016, waarbij 81 miljoen dollar werd buitgemaakt.

Gedurende de forensische analyse van de sporen die de groep heeft achtergelaten bij banken in Europa en Zuidoost Azië, verkreeg Kaspersky Lab diepgaand inzicht in de kwaadaardige tools die de groep gebruikt en hoe de groep te werk ging bij de aanvallen op financiële instellingen, casino’s, softwareontwikkelaars van investeringsfirma’s en crypto-currency bedrijven.

Op basis van de bevindingen konden ten minste twee andere operaties afgebroken worden, operaties die maar één doel hadden: het stelen van grote hoeveelheden geld. Lazarus investeert zwaar in nieuwe varianten van hun malware, maar de aanvallers houden zich nu relatief stil en Kaspersky Lab is er zeker van dat ze zullen terugkeren. De aanvallen van Lazarus tonen aan dat een kleine configuratiefout een grote securitydoorbraak kan betekenen die kan leiden tot verliezen van honderden miljoen dollars.

Uitgebreide informatie over Lazarus is te vinden op securelist.com.