De afgelopen maanden zijn 13 Russische banken getroffen door een netwerkworm die criminelen hielp met het stelen van 25,7 miljoen dollar, maar de diefstal had eenvoudig voorkomen kunnen worden als er Office-updates waren geinstalleerd, zo claimt het Russische beveiligingsbedrijf Group-IB.
De groep criminelen heeft de naam Buhtrap gekregen en is al sinds 2014 actief, hoewel de eerste aanvallen tegen banken pas in augustus 2015 werden ontdekt. Daarvoor waren voornamelijk bankklanten het doelwit. De manier waarop de criminelen opereren is volgens Group-IB uniek. "Buhtrap is de eerste hackergroep die een netwerkworm gebruikt om de algehele infrastructuur van de bank te infecteren, wat het zeer lastig maakt om alle infecties van het netwerk te verwijderen", aldus beveiligingsbedrijf in een rapport (pdf).
Om de worm van het netwerk te verwijderen zouden banken hun hele infrastructuur moeten uitschakelen, wat weer gevolgen heeft voor de dienstverlening aan klanten. De eerste stap in de aanval tegen de banken is het gebruik van phishingmails. De aanvallers maken daarbij gebruik van beveiligingslekken in Microsoft Office die in 2012, 2013 en 2014 door Microsoft werden gepatcht. In het geval de banken deze updates niet hadden uitgerold kon door het openen van het document malware op de computer worden geïnstalleerd.
Ook werden er soms Word-documenten met kwaadaardige macro's en besmette e-mailbijlagen gebruikt. Na de infectie van de computer werd de netwerkworm ingezet voor het verder besmetten van bankcomputers en de rest van het netwerk. Vervolgens werden er frauduleuze transacties in een banksysteem klaargezet, die ook werden uitgevoerd. Op deze manier werd er bij 13 banken in totaal 25,7 miljoen dollar buitgemaakt.
Afsluitend geeft Group-IB in het rapport advies om aanvallen door de groep te voorkomen. Het gaat dan voornamelijk om het installeren van Microsoft-updates. "De Buhtrap-groep gebruikte geen zero day-lekken, maar oude exploits. Daarom konden zelfs standaard softwareupdates voorkomen dat de aanvallers toegang tot het bedrijfsnetwerk kregen. Sommige van de aangevallen banken hadden deze updates echter niet geïnstalleerd", aldus het advies.
In het geval de banken wel up-to-date waren gebruikten de aanvallers Word-documenten met kwaadaardige macro's. Die staan echter standaard uitgeschakeld en vereisen medewerking van het bankpersoneel om uit te voeren. Bedrijven krijgen dan ook het advies om macro's via een 'group policy' uit te schakelen en medewerkers te waarschuwen dat het inschakelen van macro's tot malware kan leiden.
Als de banken up-to-date waren en gebruikers de macro's niet openden, werden e-mails met besmette bijlagen gebruikt. Het ging om met een wachtwoord beveiligde zip-bestanden met daarin een uitvoerbaar bestand. In dit geval hadden de bijlagen voor verder onderzoek geblokkeerd moeten worden, aldus de Russische beveiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.