Wat is Dridex malware?
Dridex is kwaadaardige software (malware) die zich richt op toegang tot bankieren en financiën door gebruik te maken van macro’s in Microsoft Office om systemen te infecteren. Zodra een computer is geïnfecteerd, kunnen Dridex-aanvallers bankgegevens en andere persoonlijke informatie op het systeem stelen om toegang te krijgen tot de financiële gegevens van een gebruiker.
Dridex werkt door eerst op de computer van een gebruiker aan te komen als een schadelijke spam-e-mail met een Microsoft Word-document als bijlage bij het bericht. Als de gebruiker het document opent, activeert een macro in het document heimelijk een download van de Dridex banking malware, waardoor het eerst bankgegevens kan stelen en vervolgens frauduleuze financiële transacties kan genereren.
Evoluerend van Cridex en ZeuS
Dridex is een evolutie van de Cridex-malware, die zelf is gebaseerd op de ZeuS Trojan Horse-malware. De Dridex banking malware verspreidde zich aanvankelijk eind 2014 via een spamcampagne die dagelijks meer dan 15.000 e-mails genereerde. De aanvallen richtten zich voornamelijk op computersystemen die zich in het Verenigd Koninkrijk bevonden.
Het Cridex Trojaanse Paard verspreidt zich door zichzelf te kopiëren naar gemapte en verwisselbare schijven op geïnfecteerde computers. Cridex creëert een achterdeurtje op geïnfecteerde systemen, waardoor het mogelijk wordt aanvullende malware te downloaden en uit te voeren en operaties uit te voeren zoals het openen van malafide websites.
Dit laatste vermogen stelt Cridex in staat de bankgegevens van gebruikers op een geïnfecteerd systeem vast te leggen wanneer de gebruiker probeert een financiële website te bezoeken en zich daarbij aan te melden. Cridex leidt de gebruiker heimelijk om naar een frauduleuze versie van de financiële site en registreert de inloggegevens wanneer deze worden ingevoerd.
Is Dridex detecteerbaar?
Zoals het geval is geweest met de Emotet-malware, heeft ook Dridex vele iteraties gekend. In de afgelopen tien jaar heeft Dridex een aantal uitbreidingen ondergaan, waaronder een overgang naar XML-scripts, hashing-algoritmen, peer-to-peer-encryptie en peer-to-command-and-control-encryptie. Net als Emotet traceert elke nieuwe versie van Dridex een verdere stap in de wereldwijde wapenwedloop, terwijl de beveiligingsgemeenschap reageert met nieuwe detectie en mitigaties,” schreven onderzoekers.
Er wordt aangenomen dat Dridex meer variaties zal blijven zien. “Gezien de implementatie en implementatie op dezelfde dag van het ssl-pertcom-domein op 26 juni en de neiging om willekeurig gegenereerde variabelen en URL-directory’s te gebruiken, is het waarschijnlijk dat de actoren achter deze variant van Dridex de indicatoren zullen blijven veranderen gedurende de huidige campagne”, aldus het rapport.
Licht aan het einde van de tunnel?
Op 05 december 2019 kondigde de FBI aanklachten aan in malware-samenzwering van twee Russische onderdanen.
Maksim V. Yakubets en Igor Turashev worden, samen met verschillende mede-samenzweerders, aangeklaagd voor een inspanning die tienduizenden computers infecteerde met een kwaadaardige code genaamd Bugat. Eenmaal geïnstalleerd, stelde de computercode, ook bekend als Dridex of Cridex, de criminelen in staat om bankgegevens te stelen en geld rechtstreeks van de rekeningen van de slachtoffers te sluizen. De langlopende regeling omvatte een aantal verschillende codevarianten, en latere versies installeerden ook ransomware op computers van slachtoffers. De criminelen eisten vervolgens betaling in cryptocurrency voor het teruggeven van vitale gegevens of het herstellen van de toegang tot kritieke systemen.
Turashev en Yakubets werden beiden aangeklaagd in het Western District van Pennsylvania op samenzwering om fraude, draadfraude en bankfraude te plegen, onder andere aanklachten. Yakubets werd ook in verband gebracht met beschuldigingen van samenzwering om bankfraude te plegen die zijn uitgevaardigd in het District of Nebraska nadat onderzoekers hem in verband konden brengen met de aangeklaagde moniker “aqua” uit die zaak, die een andere malware-variant betrof die bekend staat als Zeus.
Lees het volledige artikel hier
Hoe ransomware te voorkomen
Er zijn een aantal defensieve stappen die u kunt nemen om ransomware-infectie te voorkomen. Deze stappen zijn natuurlijk goede beveiligingspraktijken in het algemeen, dus als u ze volgt, verbetert u uw verdediging tegen allerlei aanvallen:
- Patching – Houd uw besturingssysteem gepatcht en up-to-date om ervoor te zorgen dat u minder kwetsbaarheden hebt om uit te buiten.
- Witte lijst met toepassingen – Installeer geen software en geef deze geen beheerdersrechten tenzij u precies weet wat het is en wat het doet. Zorg ervoor dat u een lijst bijhoudt met goedgekeurde toepassingen voor de hele organisatie.
- Anti-virus/Malware Service, gebruik een service die kwaadaardige programma’s zoals ransomware detecteert zodra ze binnenkomen. Sommige beschikken over whitelisting-mogelijkheden die voorkomen dat niet-geautoriseerde applicaties überhaupt worden uitgevoerd.
- Breid uw perimeter uit, gebruik een service voor het filteren van e-mail en sociale media, bij voorkeur in de cloud. Deze detecteert schadelijke bijlagen, bestanden en veel ‘zoals Spambrella’ scannen ook URL’s voor kwaadwillende actoren.
- Adopteer de 3:2:1 aanpak. Maak drie reservekopieën, op twee verschillende soorten media, en bewaar één kopie veilig buiten het bedrijf op een apparaat met air-gapped – Eén dat niet is aangesloten op een netwerk of toegankelijk is via internet
Alles wat u moet weten over phishing…
Email spoofing: Wat is het en hoe kunt u het voorkomen
Praktijk Brookside ENT in Michigan sluit deuren na aanval met ransomware