En rekke banker i mange land har i det siste blitt utsatt for rettede skadevareangrep. Det er uklart hvilken skade disse angrepene har ført til.
En rekke banker i mange land har i det siste blitt utsatt for rettede skadevareangrep. Det er uklart hvilken skade disse angrepene har ført til. (Bilde: Colourbox)

Downloader.Rantankba

Mange titalls banker rammet av vannhull-angrep

En ny bølge av skadevare skal være rettet spesifikt mot omtrent 150 IP-adresser tilhørende 104 virksomheter, hvorav de fleste er banker. De resterende er telekom- og internettselskaper. Virksomhetene er fordelt på 31 ulike land. 

Ifølge Symantec har angrepene pågått i alle fall siden oktober i fjor. Det skal dreie seg om såkalte vannhullangrep, hvor ellers pålitelige tjenester som de ønskede ofrene ofte besøker, har blitt infisert med skadevare som infiserer de besøkende. 

Spredt av polsk finanstilsyn

Et tydelig eksempel på dette ble kjent i Polen i begynnelsen av februar, da rundt 20 banker fikk det travelt med å skanne datamaskinene sine etter at flere av dem var blitt infisert med skadevare som var blitt distribuert via webserveren til det polske finanstilsynet. Spredningen ble utført ved at en lokal JavaScript-fil var blitt lettere modifisert, slik at den også lastet ned en ekstern JavaScript-fil som skal ha kunnet laste ned og starte ondsinnet kode hos utvalgte ofre. 

Symantec oppgir at selskapets løsninger har blokkert lignende angrep, basert på samme «exploit kit» hos en rekke banker i både Mexico, Uruguay og Polen. 

Les også: Ber bankene dele informasjon om hackerangrep

Lazarus?

Skadevaren som har blitt brukt i angrepene, har fått navnet Downloader.Rantankba. Dette er en trojaner som kopierer seg selv til oppstartsmappen i startmenyen til Windows. Det betyr at den startes hver gang brukeren logger seg inn. 

Symantec har funnet visse likheter mellom den nye skadevaren og skadevare som tidligere har blitt brukt av en gruppering kalt Lazarus. Denne hackergruppen skal ha blitt knyttet til en rekke angrep siden 2009. 

Ilia Kolochenko, CEO ved sikkerhetsselskapet High-Tech Bridge, skriver i en kommentar som digi.no har mottatt at man bør regne med at kyberkriminelle vil finne enda mer kreative og pålitelige måter for å kompromittere sine ofre.

Les også: Arresterte hackergruppe som svindlet banker for millioner

Høy verdi

– Troverdige nettsteder, som myndighetenes, representerer høy verdi for kyberkriminelle, selv når de ikke inneholder noen følsomme eller konfidensielle data, skriver Kolochenko. 

– Tidligere har hackere brukt engangs- eller søppelnettsteder som skadevareverter. Men etter hvert som bedriftsbrukere har blitt mer opplyst og årvåkne, må angriperne finne mer pålitelige metoder for levering av skadevare og for å få tilgang til bedriftsnettverk. 

– Det er derfor Gartner og andre uavhengige analyseselskaper stadig forteller at risikoen knyttet til bedrifters webapplikasjoner er veldig høy og alvorlig undervurdert. Målrettet phishing og vannhullangrep mot høyprofilerte nettsteder vil vokste betydelig i den nærmeste framtid, spår Kolochenko.

Leste du denne? Mener IT-sikkerhetbransjen selger middelaldersk heksekunst

Kommentarer (0)

Kommentarer (0)
Til toppen