Cybercriminelen halen nog steeds profijt uit de Log4J kwetsbaarheid

Cybercriminelen profiteren nog steeds van de Log4J (ook wel bekend als Log4Shell) kwetsbaarheid. Log4j is een opensource Java-logtool die door veel verschillende applicaties wordt gebruikt. De kwetsbaarheid kan potentieel grote schade aanrichten bij organisaties. Daarom is het belangrijk om direct de laatste update van Log4j te installeren. Medio december 2021 riepen organisaties, zoals het NCSC en het CCB, al op om de nodige voorbereidingen te nemen. Echter blijkt dat veel organisaties te laat of geen updates hebben doorgevoerd.

Dit blijkt uit een analyse van G DATA CyberDefense. In plaats van nieuwe aanvalsgolven lanceren cybercriminelen momenteel gerichte aanvallen op bedrijven die ze eind vorig jaar al hadden geïnfiltreerd via de kwetsbaarheid. Destijds installeerden de aanvallers ‘backdoors’ die onopgemerkt bleven. Ze maken hier nu misbruik van en smokkelen extra kwaadaardige code het netwerk in, inclusief ransomware om gegevens te versleutelen. Bijzonder verontrustend is het feit dat nog niet alle organisaties de kwetsbaarheid hebben opgelost. Dit betekent dat ze nog steeds een potentieel doelwit zijn voor cybercriminelen.

Minder cyberaanvallen

Daarentegen daalt het aantal nieuwe cyberaanvallen wel. Als we het derde kwartaal van 2022 vergelijken met het tweede, daalde het aantal afgewende aanvallen met 13,7 procent. Bij consumenten is de daling groter dan bij bedrijven. Het aantal afgewende aanvallen op zakelijke klanten daalde van het tweede kwartaal naar het derde kwartaal met 7,5 procent en voor particuliere klanten met bijna 15 procent.

Momenteel worden met name Berbew, Neojitt en Formbook malware gebruikt om systemen aan te vallen. Berbew is een Trojaans paard dat wachtwoorden leest en naar een externe webserver stuurt. Berbew fungeert ook als een webproxy, waardoor aanvallers het geïnfecteerde systeem kunnen gebruiken als een schakelaar voor externe toegang tot andere systemen. Cybercriminelen verspreiden de trojan via e-mail bijlages of via programma's voor het delen van data. FormBook is een infostealer die gegevens exfiltreert van geïnfecteerde systemen, zoals inloggegevens in de cache van webbrowsers of via screenshots. Daarnaast functioneert het ook als een downloader, waardoor aanvallers achteraf kwaadaardige code kunnen uitvoeren op een geïnfecteerd systeem. Formbook is erg populair omdat het op ondergrondse forums tegen een lage prijs op de markt wordt gebracht als een Malware-as-a-Service (MaaS)-model.

Verre van ideaal

Ondanks de dalende cijfers is de algehele IT-security in de Benelux verre van ideaal. Cybercriminelen maken consequent misbruik van beveiligingslacunes om bedrijven in gevaar te brengen. Onoplettende medewerkers openen ook herhaaldelijk de deur naar het netwerk voor cybercriminelen, door in phishingmails te trappen en verkeerde bijlages te openen. Volgens G DATA CyberDefense moeten organisaties nog steeds een inhaalslag maken op zowel technisch als menselijk vlak als het gaat om cybersecurity.

"Wat we aan het begin van het jaar hadden voorspeld over de exploitatie van de Log4J-kwetsbaarheid komt nu uit,” zegt Eddy Willems (foto), Security Evangelist bij G DATA CyberDefense. “Dankzij Log4J was het voor cybercriminelen een fluitje van een cent om honderdduizenden systemen te infecteren. De tijd van oogsten is helaas nu aangebroken.”