2min

Tags in dit artikel

, , ,

Het beveiligingsteam van BlackBerry is op een groep hackers gestuit die hun services te huur aanbieden. De groep noemt zichzelf CostaRicto en lijkt in Zuid-Azië gevestigd te zijn.

De groep is verantwoordelijk voor een serie georkestreerde aanvallen in elk continent, al vinden de meeste aanvallen plaats in India, Bangladesh en Singapore. Dat doet BlackBerry vermoeden dat ze in die regio gevestigd zijn.

Gebaseerd op de doelwitten denkt BlackBerry dat de hackers niet aan een specifieke staat geallieerd zijn, maar dat de acties voortkomen uit opdrachten uit verschillende hoeken.

Malware

Volgens BlackBerry heeft de groep zijn eigen malware ontwikkeld, vernoemd naar Overwatch-personage Sombra. De malware heeft gestructureerde code en duidelijk versiebeheer. Op basis van de versienummers schat BlackBerry dat er sinds oktober 2019 aan de software wordt gewerkt. De groep is echter vermoedelijk al sinds 2017 actief met andere software.

Tip: BlackBerry wil groeiend aantal endpoints van bedrijven beveiligen

De aanvallen zijn voor een groot gedeelte afhankelijk van gestolen inloginformatie en doelgerichte phishingacties. Met de gestolen gegevens weten de hackers doelwitten te infecteren met de Sombra-trojan. Sombra scant vervolgens de geïnfecteerde systemen op gevoelige gegevens, en stuurt die vervolgens terug naar CostaRicto.

Goed beveiligd

CostaRicto heeft zijn infrastructuur goed beveiligd, en is alleen toegankelijk via Tor. De geïnfecteerde systemen routeren de gestolen gegevens via meerdere proxy’s en ssh-tunnels om te voorkomen dat de organisaties in kwestie het netwerkverkeer detecteren. BlackBerry meent dat met deze maatregelen de groep zijn beveiliging bovengemiddeld goed op orde heeft.

Tip: Hackersgroep achter beruchte malware Emotet biedt nu ook diensten aan