skip to Main Content

Beveiligingsbedrijf vindt geheugenmalware op 140 bedrijfsnetwerken

Beveiligingsbedrijf Kaspersky heeft zogenaamde fileless malware ontdekt op netwerken van 140 ondernemingen, waaronder banken. Deze vorm van kwaadaardige software bevindt zich alleen in het geheugen van systemen en is daardoor moeilijk te detecteren.

De malware wordt gebruikt om logingegevens van beheerders te verzamelen, schrijft Kaspersky in een analyse. Scripts werden volgens de onderzoekers gegenereerd aan de hand van het Metasploit Framework, dat onder andere gebruikt wordt om exploits te gebruiken en te configureren. Er waren daardoor geen malwarebestanden nodig en de sporen van een aanval waren na een herstart van het systeem uitgewist.

De onderzoekers kwamen de aanvallen op het spoor toen een bank Meterpreter-code in het geheugen van een domeincontroller aantrof. Zij kwamen erachter dat door een PowerShell-script in het Windows-register de Meterpreter-payload in het geheugen van het systeem was geladen. Ook was er een kwaadaardig proces aangemaakt met het standaard-Windows-onderdeel SC. Vervolgens werd een ander standaardonderdeel, NETSH, gebruikt om verbinding te maken met een command and control-server. Om de daarvoor benodigde beheerdersrechten te verkrijgen, maakten de aanvallers gebruik van Mimikatz.

Volgens Kaspersky is het bijna onmogelijk om te zeggen wie er achter de aanvallen zit, omdat er gebruik is gemaakt van eenvoudig verkrijgbare tools en domeinen zonder whois-informatie. De getroffen ondernemingen zijn vooral gevestigd in de VS, Frankrijk, Ecuador, Kenia en in het VK. Het bedrijf zegt dat geavanceerde aanvallen met geheugenmalware steeds vaker voorkomen en dat de ontdekking aantoont dat een succesvolle aanval ook zonder malwaresamples mogelijk is.

Is uw bedrijfsnetwerk op dit moment eigenlijk wel goed beveiligd? Neem contact op met ons voor een gratis ICT scan. Wij komen kosteloos uw ICT-omgeving controleren en geven vervolgens gratis advies.