Cybercriminelen spelen in op donatiecampagnes rondom oorlog Oekraïne

Het aantal nieuwe Oekraïne-gerelateerde domeinnamen is significant gestegen. Sinds de Russische invasie van Oekraïne op 24 februari zijn meer dan meer dan twee keer zoveel domeinen voor het eerst waargenomen dan in de voorgaande week. Veel van deze websites zijn daadwerkelijk opgezet om Oekraïners te ondersteunen. Maar cybercriminelen maken gebruik van deze behoefte om te helpen en hebben sites opgezet die deze hulpacties nabootsen of spoofen om crytovaluta buit te maken. Daarnaast is recentelijk een spamcampagne geïdentificeerd die de Agent Tesla keylogger installeert.

Dit blijkt uit een analyse door de Threat Intelligence Group van securityspecialist Infoblox. Infoblox heeft een uitvoerige analyse gedaan, met een uitgebreide lijst van Indicators of Compromise (IoC) als resultaat. Omdat een aantal van deze IoC’s ook legitieme websites kunnen raken - zoals wanneer naar simpele externe formulieren wordt gelinkt - is tevens een handmatige analyse van tientallen nieuwe domeinnamen uitgevoerd. Daarbij werden aanvullende indicatoren geïdentificeerd om frauduleuze van legitieme websites te onderscheiden, zoals:

• Crypto-adressen zonder transactiegeschiedenis
• Claims van domeinnamen die niet publiekelijk te valideren zijn
• Kruisverwijzingen met onderzoek van andere security-organisaties
• Transacties naar andere recent geregistreerde domeinen
• Meerdere, recent opgezette websites die vanaf eenzelfde IP-adres worden gehost

Naast frauduleuze websites ziet Infoblox ook e-mailcampagnes, die of leiden naar malafide websites of bijlagen met malware bevatten. Zo werd een week na het start van de invasie een mailspam-campagne geïdentificeerd met een ZIP-bijlage die de Agent Tesla keylogger bevat.

Maatregelen

IT-teams kunnen hun netwerken op enkele manieren beter beveiligen tegen dit soort cybercrime. Zo kunnen zij het gebruik van Tor-netwerken verbieden voor niet-kritieke bedrijfsprocessen, API-verzoeken naar messaging- en CDN-diensten monitoren en browsers verbieden credentials en andere gevoelige informatie op te slaan. Verder gelden de reguliere security-adviezen.

Infoblox raadt iedereen aan niet zomaar op links naar sites of bijlagen te klikken en de legitimiteit van de links vooraf te verifiëren. Sommige sites kunnen dienen als dekmantel voor criminele groeperingen, waarmee spyware op apparaten kan worden geïnstalleerd en persoonsgegevens kunnen worden verzameld. Voor zakelijke omgevingen geldt dat IT-teams extra waakzaam moeten zijn op verdacht gedrag binnen hun netwerken.

'Bliksemsnel reageren als ze hun kans schoon zien'

"Deze fraudepraktijken tonen aan dat cybercriminelen nauwlettend het nieuws in de gaten houden en bliksemsnel reageren als ze hun kans schoon zien”, zegt Dr. Renee Burton, Senior Director Threat Intelligence bij Infoblox en voorheen werkzaam bij het Amerikaanse ministerie van Defensie. “Een aantal malafide hulpsites werd binnen een dag na de invasie geactiveerd. Verschillende domeinen werden in de weken ervoor geregistreerd, wat erop wijst dat criminelen zich hebben voorbereid. Hoewel de voorkeur uitging naar cryptovaluta, vroegen de criminelen ook om bijdragen via creditcards en bankrekeningen. Ook in de Agent Tesla-campagne gebruiken criminelen de crisis om gebruikersgegevens en financiële informatie te stelen."

Meer informatie over de analyse en deze domeinnamen, inclusief voorbeelden, is te vinden in het blog van Infoblox.