Buhtrap ontvreemdt 25,7 miljoen dollar via worm

Dertien Russische banken zijn recentelijk geïnfecteerd met een netwerkworm. Cybercriminelen konden daardoor 25,7 miljoen dollar wegsluizen. Volgens het Russische beveiligingsbedrijf Group-IB had de diefstal verhinderd kunnen worden, als de systemen voorzien waren geweest van Office-updates.

De groep cybercriminelen wordt inmiddels Buhtrap genoemd. De groep maakt gebruik van bijzondere methoden. “Buhtrap is de eerste hackergroep die een netwerkworm gebruikt om de algehele infrastructuur van de bank te infecteren, wat het zeer lastig maakt om alle infecties van het netwerk te verwijderen”, aldus Group-IB.

Phishingmail
Om de worm te verwijderen, zouden de getroffen banken hun infrastructuur moeten uitzetten. De cybercriminelen zetten onder meer phishingmails in die gebruikmaken van kwetsbaarheden in Microsoft Office. Weliswaar heeft Microsoft deze lekken gepatcht in 2012 tot en met 2014 maar de getroffen banken hadden deze patches niet geïnstalleerd.

Netwerkworm
Verder zet Buhtrap Word-documenten met malafide macro’s en geïnfecteerde e-mailbijlagen in. Eenmaal op deze wijze geïnfecteerd, volgt een aanval met een netwerkworm. Hierdoor raakt de rest van het netwerk, inclusief bankcomputers, besmet. De criminelen kunnen dan opdracht geven tot frauduleuze transacties. De schade bij alle dertien banken in totaal bedroeg ruim 25 miljoen dollar.

Aanmelden voor onze nieuwsbrief