3.500 servers gehackt in grootschalige cybercrimecampagne

  1. 25 jan 2016
  2. 0 reacties

servers

Cybercriminelen hebben in een wereldwijde actie 3.500 servers gekraakt. De websites die op deze servers draaien zijn voorzien van malafide code die nietsvermoedende bezoekers automatisch doorstuurt naar een malafide website, waar informatie over hen verzameld.

Dit meldt Symantec. Geïnfecteerde servers zouden direct na de jaarwisseling zijn gestart met het doorsturen van bezoekers naar malafide pagina’s. Op deze pagina’s wordt informatie verzameld over bezoekers. Het gaat hierbij onder andere om het IP-adres, Adobe Flash Player-versie, taalinstellingen en beeldschermresolutie.Symantec vermoedt dat het gaat om een voorbereidende aanval. Met de aanval wordt waarschijnlijk informatie verzameld om doelwitten te verzamelen voor een aanval die op een later tijdstip op de planning staat.

Direct na de jaarwisseling gestart

De aanvalscampagne is direct na de jaarwisseling gestart. Getroffen servers zouden tot 9 januari bezoekers hebben doorgestuurd, waarna een duidelijke dip in het verkeer te zien is. De aanvalscampagne is vervolgens op 14 januari weer voortgezet.

De meeste bezoekers die zijn doorgestuurd naar malafide websites zijn afkomstig uit de Verenigde Staten (47%). 12% van de gebruikers is afkomstig uit India. Ook gebruikers uit het Italië (6%), Japan (6%), het Verenigd Koninkrijk (6%), Canada (5%), Frankrijk (5%), Rusland (5%), Brazilië (4%) en Oostenrijk (4%) zijn door de aanval getroffen.

Veel Amerikaanse servers

Als we kijken naar de aangevallen servers blijkt 75% gehost te zijn in de Verenigde Staten. In de meeste gevallen gaat het om bedrijfswebsites, overheidssites of websites op het ‘.edu’ topleveldomein. Alle getroffen websites zouden gebruik maken van een ‘bekend contentmanagementsysteem’, al laat Symantec in het midden om welk systeem het gaat.

Symantec heeft code gepubliceerd die aan gehackte websites worden toegevoegd. Het beveiligingsbedrijf adviseert beheerders te controleren of hun website deze code bevat. Indien dit het geval is adviseert Symantec de volledige website na te lopen op malafide code.

Meer over
Lees ook
De speciale exploitatiecyclus van TA422: week na week hetzelfde

De speciale exploitatiecyclus van TA422: week na week hetzelfde

Proofpoint onderzoekers zagen vanaf eind maart 2023 dat de Russische Advanced Persistent Threat (APT) TA422 gemakkelijk gepatchte kwetsbaarheden gebruikte om verschillende organisaties in Europe en Noord-Amerika aan te vallen. TA422 overlapt met de aliassen APT28, Forest Blizzard, Pawn Storm, Fancy Bear en Blue Delta. De Amerikaanse inlichtingsdie1

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.

Zowel cybercriminelen als –verdedigers gebruiken AI

Zowel cybercriminelen als –verdedigers gebruiken AI

Nieuwe ISACA-gids ondersteunt bedrijven bij het managen van generatieve AI-risico’s