Utrecht, 22 februari 2017 –
Kaspersky Lab heeft een enorm verhoogde activiteit van de Adwind Remote Access Tool (RAT) gedetecteerd. Deze multifunctionele backdoor is gebruikt bij aanvallen tegen meer dan 1500 organisaties in meer dan 100 landen. De aanvallen hebben diverse industriële sectoren getroffen, waaronder detailhandel en distributie (20,1 procent), architectuur en bouw (9,5 procent), scheepvaart en logistiek (5,5 procent), verzekeringen en juridische dienstverlening (5 procent) en consulting (5 procent).
De slachtoffers van Adwind ontvangen e-mails uit naam van HSBC Advising Service (van het domein mail.hsbcnet.hsbc.com), met als bijlage een betalingsinstructies. Volgens onderzoek van Kaspersky Lab is de activiteit van dit e-maildomein terug te voeren tot 2013.
In plaats van instructies bevatten de bijlagen malware. Zodra de beoogde gebruiker het bijgevoegde ZIP-bestand – dat een JAR-bestand bevat – opent, installeert de malware zichzelf en probeert het te communiceren met zijn command- en control-server. De malware geeft de aanvaller bijna volledige controle over de geïnfecteerde computer, waardoor deze de hand kan leggen op vertrouwelijke data.
De geografische spreiding van de slachtoffers gedurende deze periode, zoals vastgelegd door het Kaspersky Security Network (KSN), laat zien dat ruim 40 procent in de volgende landen woonachtig is:
Volgens de onderzoekers van Kaspersky Lab beschikken de criminelen over industrie-specifieke mailinglists voor het kiezen van hun doelwitten, aangezien de slachtoffers een groot deel van de bedrijfstakken betreffen. Gezien het aantal detecties richten de daders zich vooral op omvang en reikwijdte van de aanvallen en niet zo zeer op geavanceerde technologie.
Een volledig overzicht van de financiële dreigingen en hun evolutie in de loop van het afgelopen jaar is te lezen in ons rapport "
Financial Cyberthreats in 2016".