image

Franse politie verwijdert PlugX-malware van besmette computers slachtoffers

vrijdag 26 juli 2024, 09:38 door Redactie, 5 reacties

De Franse politie heeft samen met cybersecuritybedrijf Sekoia een tool ontwikkeld waarmee het de PlugX-malware van besmette computers kan verwijderen en heeft die inmiddels ook ingezet. Franse slachtoffers worden achteraf over de operatie geïnformeerd. De PlugX-malware bestaat al vele jaren en wordt onder andere ingezet voor datadiefstal en spionage. Eén van de varianten verspreidt zich via usb-sticks, infecteert vanaf het besmette systeem nieuw aangesloten usb-sticks en verzamelt allerlei bestanden van het systeem.

Met deze variant besmette machines maken geregeld verbinding met een command & control-server, bijvoorbeeld voor het downloaden van nieuwe malware. Al deze machines blijken verbinding met één specifiek ip-adres te maken. Onderzoekers van securitybedrijf Sekoia wisten vorig jaar september dit ip-adres in handen te krijgen. Op deze manier wisten ze het botnet te 'sinkholen'. Hierbij wordt verkeer afkomstig van een besmette machine doorgestuurd naar een server van bijvoorbeeld een securitybedrijf, autoriteit of provider, om zo verdere schade te voorkomen en besmette machines te identificeren.

Over een periode van enkele maanden zagen de onderzoekers elke dag 90.000 tot 100.000 unieke ip-adressen requests naar het command & control ip-adres versturen die specifiek zijn voor met PlugX besmette machines. Over een periode van zes maanden gaat het om 2,5 miljoen unieke ip-adressen, waarbij er nog steeds nieuwe infecties plaatsvinden. De onderzoekers merken op dat het totaal aantal besmette machines onbekend is.

De Franse politie en Sekoia ontwikkelden een verwijdertool waarmee besmette computers zijn op te schonen (pdf). Deze tool, die via Europol aan buitenlandse partners is aangeboden, is vervolgens op geïnfecteerde systemen uitgevoerd. Op 18 juli werd de 'desinfectie-operatie' gestart, waarbij al snel honderden slachtoffers zijn opgeschoond, aldus de Franse politie. De meeste slachtoffers bevinden zich in Frankrijk, maar het gaat ook om systemen in Malta, Portugal, Kroatië, Slovenië en Oostenrijk. De Franse autoriteiten zeggen Franse slachtoffers na de operatie, die enkele maanden zal duren, te zullen informeren.

Reacties (5)
26-07-2024, 09:47 door Anoniem
Wat ik in dit verhaal mis, is dat de politie de verspreider, ontwikkelaar van de malware opgepakt heeft, of dat ze dat deze op het spoor zijn.
Het probleem wordt niet opgelost.
26-07-2024, 09:52 door Anoniem
Beste, we hebben uw pc opgeschoond.
met vriendelijke groet

Politie

en later dan ook maar:
Beste, we hebben op uw pc de toegang tot domein "X" geblokkeerd.
Leek ons beter.
met vriendelijke groet,

Politie

moet niet gekker worden...
26-07-2024, 11:07 door Anoniem
Door Anoniem: Wat ik in dit verhaal mis, is dat de politie de verspreider, ontwikkelaar van de malware opgepakt heeft, of dat ze dat deze op het spoor zijn.
Het probleem wordt niet opgelost.
Als je zelf even een paar zoekopdrachten lanceert dan kom je snel tegen dat de herkomst vermoedelijk Chinees is en zelfs gebruikt zou worden door groepen die door de Chinese staat worden ondersteund.

Hoe zie je precies voor je dat de politie van een westers land dergelijke daders opspoort en oppakt?
26-07-2024, 11:51 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik in dit verhaal mis, is dat de politie de verspreider, ontwikkelaar van de malware opgepakt heeft, of dat ze dat deze op het spoor zijn.
Het probleem wordt niet opgelost.
Als je zelf even een paar zoekopdrachten lanceert dan kom je snel tegen dat de herkomst vermoedelijk Chinees is en zelfs gebruikt zou worden door groepen die door de Chinese staat worden ondersteund.

Hoe zie je precies voor je dat de politie van een westers land dergelijke daders opspoort en oppakt?
Dat had gerust in het artikel mogen staan.
26-07-2024, 14:51 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Wat ik in dit verhaal mis, is dat de politie de verspreider, ontwikkelaar van de malware opgepakt heeft, of dat ze dat deze op het spoor zijn.
Het probleem wordt niet opgelost.
Als je zelf even een paar zoekopdrachten lanceert dan kom je snel tegen dat de herkomst vermoedelijk Chinees is en zelfs gebruikt zou worden door groepen die door de Chinese staat worden ondersteund.

Hoe zie je precies voor je dat de politie van een westers land dergelijke daders opspoort en oppakt?
Dat had gerust in het artikel mogen staan.

Inderdaad, dat had GEMOGEN. En bij gebrek eraan had je het ook best zelf even kunnen zoeken, in plaats van te balken en te wachten tot iemand het voor je doet. Geez, wat zijn mensen lui geworden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.