FakeUpdates blijft populairste malware wereldwijd én in België
Het onderzoek onthult dat maar liefst 6% van alle organisaties wereldwijd het slachtoffer werd van deze hardnekkige malware. In België voert FakeUpdates eveneens de ranglijst aan, gevolgd door AndroxGh0st en Remcos.
FakeUpdates is al sinds 2018 actief en verspreidt zich via zogenaamde “drive-by downloads” op geïnfecteerde of kwaadaardige websites. Het probeert gebruikers te misleiden om een valse browserupdate te installeren, waarna de malware zijn werk doet. De schadelijke software wordt gelinkt aan de Russische hackgroep Evil Corp en dient vaak als downloader voor extra malware op de geïnfecteerde systemen.
Meerlaagse aanvalstechnieken
De dreiging stopt niet bij FakeUpdates. Onderzoekers hebben deze maand een nieuwe, geavanceerde malwarecampagne ontdekt waarbij AgentTesla, Remcos en Xloader (een evolutie van FormBook) gecombineerd worden in een meerfasige aanval. De aanval start met een phishingmail die eruitziet als een bestelbevestiging. Slachtoffers worden aangespoord een kwaadaardig 7-Zip-archief te openen, dat een JScript Encoded (.JSE)-bestand bevat. Dit bestand voert een Base64-gecodeerd PowerShell-script uit, dat op zijn beurt een tweede executable lanceert in .NET of AutoIt.
De uiteindelijke malware wordt geïnjecteerd in legitieme Windows-processen zoals RegAsm.exe of RegSvcs.exe. Deze techniek bemoeilijkt detectie omdat de kwaadaardige code verscholen zit in processen die normaal als veilig worden beschouwd.
Malwarelandschap in België
In België zijn de meest actieve malwarefamilies:
- FakeUpdates – Blijft dominant, verspreidt zich via valse browserupdates.
- AndroxGh0st – Een op Python gebaseerde malware die zich richt op toepassingen met het Laravel PHP-framework. Deze malware scant naar publiek toegankelijke .env-bestanden die gevoelige informatie bevatten zoals AWS- en Office 365-credentials.
- Remcos – Een Remote Access Trojan (RAT) die toegang geeft tot systemen en misbruik maakt van beveiligingslekken in Windows.
Deze combinatie van relatief eenvoudige malware met complexe aanvalstechnieken markeert een trend waarin criminelen geavanceerdere tactieken toepassen die eerder voorbehouden leken aan statelijke actoren.
Opmars van nieuwe ransomwaregroepen
Naast malware ziet Check Point Research een opmars van nieuwe ransomwaregroepen. De top drie wereldwijd bestaat momenteel uit:
- Akira – De meest actieve ransomwaregroep deze maand, verantwoordelijk voor 11% van de gemelde aanvallen. De malware richt zich op zowel Windows- als Linux-systemen en gebruikt symmetrische encryptie om bestanden te versleutelen.
- SatanLock – Nieuw sinds april, maar heeft al 67 slachtoffers gepubliceerd.
- Qilin (Agenda) – Een Ransomware-as-a-Service (RaaS)-operatie die vooral gericht is op de zorgsector en onderwijsinstellingen.
Sectoren onder vuur
Wereldwijd zijn onderwijs, overheid en telecom de meest aangevallen sectoren. In België ligt de focus echter op:
- Gezondheidszorg
- Bedrijfsdiensten
- Financiële diensten
Volgens het rapport is de kwetsbaarheid in deze sectoren een gevolg van lagere investeringen in cybersecurity en een groot aantal verouderde IT-systemen.
Modernisering is cruciaal
De evolutie van eenvoudige malware naar complexe, gelaagde aanvallen benadrukt de noodzaak voor moderne beveiligingsoplossingen. Preventieve maatregelen zoals realtime dreigingsinformatie, AI-gestuurde detectie en gedragsanalyse worden steeds crucialer. Daarnaast is bewustwording bij personeel een belangrijke factor in het afweren van phishingaanvallen, die vaak als startpunt dienen voor deze cyberbedreigingen.
De grens tussen criminele en geopolitiek gemotiveerde aanvallen vervaagt, en organisaties moeten zich voorbereiden op een cyberlandschap waar goedkope malware kan uitgroeien tot een geavanceerde, bijna onzichtbare bedreiging.
Dit artikel is een ingezonden persbericht en valt buiten de verantwoordelijkheid van de redactie.
