Een gesprek met security researcher Matias Porolli, over de nieuwste activiteiten van Evilnum, een cybercriminele groep gericht op FinTech-bedrijven.
COVID-19-lockdowns hadden een invloed op de manier waarop mensen omgaan met hun geld. Sommigen zijn overgestapt op trading (aandelen en opties) of overspoelen populaire tradingplatforms en beïnvloeden, steeds meer, zelfs ervaren beleggers.
Nieuwe traders zijn niet altijd bewust van de waarde van hun gegevens en geld in dit winstspel. Aanmelden bij een tradingplatform betekent zich aan de Know Your Customer-voorschriften (KYC) houden en zijn persoonlijke gegevens delen. Hoe veilig zijn de gegevens en hoe lucratief eens gelekt of gestolen?
Een nieuwe versie van een van Evilnum’s kwaadaardige componenten werd gedetecteerd door een paar security vendors. Een grondige analyse bevestigt dat deze zich enkel richt op FinTech-bedrijven en een grotere infrastructuur heeft dan eerder beschreven in het ESET-rapport.
FinTechs moeten uitkijken want Evilnum bestaat al jaren en is nog steeds actief. Doorgaans hebben ze te maken met een groot volume investeringen en tradingactiviteiten. Toegang hebben tot deze informatie is zeer winstgevend voor de malafiden. Zelfs als ze de gestolen informatie niet rechtstreeks gebruiken, worden ze in sommige gevallen door derden ingehuurd of verkopen ze de info. Het kan ook dat hun succes en sectorkennis hen aanmoedigt om er actief te blijven, met specifieke doelen.
Evilnum blijkt actief in het ontwikkelen van nieuwe tools, het updaten van oude, het gebruiken van publieke tools en zelfs het inhuren ervan. Wat zegt dit over deze groep?
Hun criminele activiteiten zijn ruim winstgevend om een deel ervan te investeren in aangepaste tools, nieuwe infrastructuur (servers, domeinnamen) en het updaten van oudere tools. Het is zo voor Evilnum en andere groepen gericht op FinTechs.
In september 2020 publiceerde Cybereason een rapport over een infectieketen gebruikt door Evilnum om een nieuwe Python RAT, PyVil, te droppen. In 2021 zagen we aanvallen met nieuwe versies van PyVil en van hun vlaggenschip JavaScript-malware die we in juli 2020 hebben beschreven.
Wat kunnen FinTechs doen om infiltraties van Evilnum in hun bedrijfsnetwerk op te sporen en zich ertegen te beschermen?
Mijn eerste aanbeveling is om zich te abonneren op Threat Intelligence-datafeeds. Aan beveiligingsteams bieden ze bruikbare indicatoren voor audits. Ik raad ook aan om openbare informatiebronnen te raadplegen. Volg onze blog, WeLiveSecurity, en onze info op Twitter @ESETresearch voor dagelijkse inhoud en updates.
Er duiken steeds nieuwe bedreigingen op. Het is dus belangrijk om goede beveiligingsoplossingen te hebben die kwaadaardig gedrag kunnen detecteren en aanvallen proactief blokkeren. Ervaren beveiligingsteams kunnen endpoint-detectie en responsoplossingen zoals ESET Enterprise Inspector gebruiken voor vroege identificatie van bedreigingen en succesvol herstel.
