Cybersecuritybedrijf Bitdefender waarschuwt in een nieuw rapport voor malware die specifiek werd ontworpen om data te stelen van Remote Desktop Protocol-gebruikers.
In een recent rapport waarschuwt Bitdefender voor nieuwe malware die specifiek werd ontworpen om data te stelen bij gebruikers van Remote Desktop Protocol of RDP. Die vorm van cyberaanvallen is sinds de Covid-pandemie een stuk populairder geworden.
Deze ontdekking kadert in een groter onderzoek naar spionagepraktijken in Zuidoost-Azië. Die aanvallen hebben de codenaam RedCloud. De operatie is al sinds begin vorig jaar aan de gang en vertoont het hoge niveau dat vaak wijst op de betrokkenheid van een land. Onderzoekers konden echter nog geen schuldige direct aanduiden.
De daders
De malware, RDStealer gedoopt, wordt op servers geïnstalleerd en monitort inkomende RDP-verbindingen met client drive mapping ingeschakeld. Geconnecteerde gebruikers worden vervolgens geïnfecteerd met een andere malware, Logutil-backdoor en hackers stelen de data die ze nodig hebben.
RDStealer gebruikt de geavanceerde DLL sideloading-techniek. Dat is een erg stiekeme methode waarbij verschillende DLL’s worden gelinkt, waarna sideloading (eenvoudig gezegd, het verplaatsen van bestanden) via het manipuleren van Windows Management Instrumentation in gang wordt gezet. Hiervoor coderen aanvallers alle malware in de programmeertaal Go, zodat ze in verschillende systemen kunnen opereren.
Volgens Bitdefender is het de eerste keer dat malware zo’n aanval in praktijk uitvoert. Dat is een nieuwe indicatie dat cybercriminelen steeds gesofisticeerder worden en dat security van enorm belang blijft.
Veiligheid voor alles
Het bedrijf is ervan overtuigd dat een diepe beveiligingsstructuur, met verschillende lagen, nog steeds de beste manier van werken is.
Een belangrijke eerste factor is preventie. Er zijn heel wat acties die een organisatie hiervoor kan ondernemen:
- geregeld updaten
- uitgebreid risicobeheer
- kwetsbaarheden meteen patchen
- het aantal toegangspunten tot een systeem limiteren
- toegangsbeleid beoordelen en eventueel aanpassen
Beveiliging zelf is de tweede stap, zorg dat die steeds up-to-date is en voorzie automatisering van de security bij alle mogelijke toegangspunten of de nieuwste anti-virussystemen. Windows’ eigen Microsoft Defender mag daar in elk geval zeker deel van uitmaken.
Komt een aanval toch door, is het belangrijk dat zowel de detectie- als responscapaciteiten van je systeem zo snel mogelijk in werking worden gesteld. Hoe eerder een aanval wordt opgemerkt, hoe sneller je systeem een verdediging of tegenaanval kan initiëren. De tech-wereld evolueert snel, blijven investeren in cybersecurity is dus van het hoogste belang.