Geavanceerde cybercriminaliteit in het Midden-Oosten, Zuid-Korea en Rusland in Q2

In het tweede kwartaal van 2019 zijn in het Midden-Oosten en Zuid-Korea de meeste cyberaanvallen gesignaleerd. Veelal gericht op cyberspionage, financieel gewin of het verspreiden van desinformatie. In mei ontdekte Kaspersky-onderzoekers vermeende Iraanse cyberspionage-activiteiten. Betrokkenen zouden ook verbonden zijn met ExPetr en de cyberaanval op de Olympische Winterspelen van 2018. Deze en andere dreigingsinformatie is nu beschikbaar in het onderzoeksrapport over het tweede kwartaal in 2019 waarin Kaspersky de balans opmaakt van de voornaamste cyberdreigingsinformatie in de wereld.

De belangrijkste wereldwijde cyberdreigingsinformatie op een rij:

• Cyberaanvallen van Russischtalige groepen worden steeds geavanceerder. Criminelen doen een beroep op nieuwe hulpmiddelen en starten voortdurend nieuwe activiteiten op. Zo lijkt zogeheten Zebrocy zich bijvoorbeeld volledig te richten op activiteiten in Pakistan en India. Ambtenaren, militairen en verwante diplomaten zijn veelal het slachtoffer. Daarbij wordt ingebroken op lokale soms afgelegen netwerken van Centraal-Aziatische overheidsinstanties. Turla’s aanslagen duurden voort en de infrastructuur van actor OilRig werd zelfs gegijzeld.
• In vergelijking met voorgaande kwartalen namen de cyberdreigingen in Zuidoost-Azië af met uitzondering van Zuid-Korea. Daar blijven cyberdreigingen toenemen zoals de aanval van de Lazarus-groep op een mobiel kansspelbedrijf in Zuid-Korea en activiteiten gericht op een bank in Bangladesh. Die kwam voor rekening van een afsplitsing van Lazarus die luisert naar de naam BleuNoroff. Ook vonden cyberincidenten in Zuid-Korea plaats om digitale valuta binnen te halen.
• De Chinees sprekende groep SixLittleMonkeys heeft cyberaanvallen opgetuigd op overheidsinstanties in Centraal-Azië. Daarbij hebben de cybercrminelen een beroep gedaan op een nieuwe versie van de Microcoin Trojan en een RAT. Kaspersky noemt dit HawkEye-as-a-last-stager.
• In het Midden-Oosten zijn diverse activiteiten waargenomen van Perzisch-sprekende bedreigingsactoren OilRig en MuddyWater. Cyberaanvallen waren afkomstig uit verschillende bronnen maar verschenen binnen enkele weken allemaal kort achter elkaar. Zo werd informatie van het zogeheten ‘RANA-instituut’ in het Perzisch gepubliceerd op een website met de naam ‘Hidden Reality’. Op basis van uitgebreide Kaspersky-analyse is gebleken dat de groep Hades achter deze cyberaanvallen zit. Deze Hades-groep is ook verantwoordelijk voor OlympicDestroyer dat destijds gericht was op de Olympische Spelen van 2018. Hades heeft ook valse informatie verspreid via de ExPetr worm in aanloop naar de Franse presidentsverkiezingen in 2017.

"Het tweede kwartaal van 2019 laat goed zien hoe complex het huidige cyberdreigingslandschap is. Steeds vaker is iets niet wat het lijkt. Zo hebben we bijvoorbeeld gezien hoe de ene groep cybercriminelen de infrastructuur wegkaapt bij een andere groep en op die manier op hun conto cyberaanvallen verricht. Onze cyberbeveiligingsindustrie heeft een grote uitdaging om door alle rookgordijnen heen te kijken op zoek naar feiten en relevante informatie die helpen om cyberaanvallen te voorkomen of daarop te anticiperen. Vooralsnog vinden nog altijd veel activiteiten plaats die niet op onze radar staan. Daarmee blijft bescherming tegen zowel bekende als onbekende dreigingen van cruciaal belang”, concludeert Jornt van der Wiel, cybersecurity-expert bij Kaspersky.