Tijdens Operatie Endgame, de grootste internationale operatie ooit tegen ransomware en cybercrime, is deze week een belangrijk netwerk van cybercriminelen verstoord. Samenwerkende opsporingsdiensten hebben bijna 15.000 Wordpress-websites die besmet waren met SocGholish-malware opgeschoond. EvilCorp, een beruchte internationaal opererende groep criminele hackers, gebruikte de geïnfecteerde websites als springplank om verdere cyberaanvallen uit te voeren op consumenten, bedrijven en andere organisaties.
Wat is er gebeurd?
De Nederlandse politie heeft samen met opsporingsdiensten in Canada, de Verenigde Staten en Duitsland, met ondersteuning van Europol en Eurojust, gezamenlijk opgetreden tegen de infrastructuur achter SocGholish-malware.
SocGholish misbruikt gehackte WordPress-websites om malware te verspreiden onder bezoekers van die websites. Gebruikers krijgen daarbij een melding te zien die lijkt op een legitieme browserupdate voor bijvoorbeeld Chrome of Edge. In werkelijkheid gaat het om een nep-update die slachtoffers verleidt een schadelijk bestand te downloaden en uit te voeren.
“We constateerden dat de inloggegevens van 1,4 miljoen WordPress-sites gelekt zijn. Dat betekent dat deze websites vatbaar zijn om met malware besmet te worden. Zo’n 14.971 websites die alledaagse diensten aanbieden zijn geïnfecteerd geweest met deze malware. Denk hierbij aan websites van restaurants of autogarages”, zegt Maikel Rollman van Team High Tech Crime.
Als de verbinding met de systemen van de hackers is geopend, kunnen zij alle kwaadaardige software installeren die ze willen. Van gijzelsoftware tot infostealers, die na installatie gevoelige gegevens stelen, zoals inloggegevens, financiële informatie en systeeminformatie.
Resultaten van de operatie
Tijdens de internationale actieweek zijn verschillende maatregelen genomen:
- De politie heeft eigenaren van besmette WordPress-websites geïdentificeerd aan de hand van gelekte inloggegevens en informatie van partners zoals Have I Been Pwned, DIVD, Spamhaus, Check je Hack, NoMoreLeaks, Shadowserver en het NCSC.
- De eigenaren van de getroffen websites zijn door de politie geïnformeerd.
- Backdoors en geïnstalleerde malware zijn verwijderd.
- Het SocGholish-botnet is grotendeels onklaar gemaakt door domeinnamen over te nemen en servers offline te halen.
Volgens Dave Maasland, CEO van ESET Nederland, laat de operatie zien waarom internationale samenwerking tegen cybercrime essentieel is. “Cybercriminaliteit is criminaliteit met superkrachten: grensoverschrijdend, geautomatiseerd en op enorme schaal. Juist daarom moeten we ook op schaal terugslaan. Met dit soort acties voorkom je mogelijk duizenden slachtoffers en raak je criminelen waar het pijn doet: in hun verdienmodel.”
Dit moeten WordPress-beheerders doen
De zaak onderstreept hoe kwetsbaar veelgebruikte online platformen kunnen zijn wanneer beveiliging niet op orde is. Volgens Dave Maasland vraagt de schaal van WordPress daarom ook om samenwerking op schaal.
“WordPress heeft miljoenen mensen geholpen om online actief te worden. Dat is het mooie van technologie. Maar juist die schaal maakt het ook aantrekkelijk voor criminelen. Daarom is digitale veiligheid geen verantwoordelijkheid van één partij. De good guys moeten net zo goed samenwerken als de bad guys. Alleen door overheid, bedrijfsleven en technologiepartners samen te brengen, maken we het internet veiliger.”
Eigenaren van besmette websites hebben het advies gekregen om hun beveiliging structureel te verbeteren. Hen wordt geadviseerd om de volgende beveiligingsmaatregelen te nemen:
- Wijzig de wachtwoorden van belangrijke accounts, zoals e-mail-, werk- en bankaccounts. Doe dit vanaf een schoon apparaat.
- Maak gebruik van sterke, unieke wachtwoorden en sla deze op in een wachtwoordmanager.
- Schakel multifactor-authenticatie (MFA) in waar mogelijk.
- Controleer WordPress op onbekende gebruikersaccounts. Let daarbij specifiek op accounts die beginnen met: wp-maintenance- of wp-backup-. De aanwezigheid van dergelijke accounts kan wijzen op een besmetting. Het ontbreken ervan sluit een besmetting echter niet uit.
- Houd WordPress-websites, plugins en thema’s altijd up-to-date en verwijder degene die je niet (meer) gebruikt.
- Installeer alleen plugins/thema’s van betrouwbare bronnen.
- Zorg voor goede back-ups (en sla deze niet op dezelfde webserver op)
Heb je het vermoeden dat jouw website is misbruikt, maar heb je geen melding ontvangen van de politie? Zet de website dan tijdelijk in onderhoudsmodus en herstel deze bij voorkeur vanaf een schone back-up. Wijzig vervolgens alle wachtwoorden en controleer de website grondig op ongeautoriseerde wijzigingen.
Aanvullende beveiligingsmaatregelen
Voor organisaties die hun WordPress-omgeving verder willen versterken, zijn de volgende maatregelen aan te raden:
- Beperk toegang tot /wp-admin met IP-whitelisting.
- Houd het aantal beheerdersaccounts zo beperkt mogelijk.
- Schakel meldingen in voor ongebruikelijke of risicovolle acties
- Activeer logging voor wijzigingen en inlogpogingen.
- Gebruik een Web Application Firewall (WAF) om verdachte verzoeken te blokkeren.
- Blokkeer het uitvoeren van PHP-bestanden in de uploads map
- Schakel de ingebouwde bestandsbewerking van WordPress uit wanneer deze niet nodig is.
- Gebruik monitoring (malware scan / file-integrity) om ongeautoriseerde wijzigingen snel te detecteren.
- Laat periodiek een beveiligingsscan of audit uitvoeren.
Voorkom dat jouw computer besmet raakt met SocGholish-malware
Zie je een browserupdate verschijnen? Download dan niets. Heb je de bestanden al gedownload, open deze dan niet. Sluit het tabblad of de browser af en voer updates uitsluitend uit via de officiële updatefunctionaliteit van WordPress of de betreffende softwareleverancier.
Heb je het bestand toch uitgevoerd? Blijf dan rustig, maar onderneem direct actie:
- Voer een volledige virusscan uit.
- Verwijder verdachte downloads.
- Log uit op alle actieve sessies van belangrijke accounts, dit zorg ervoor dat gestolen sessie ongeldig worden.
- Wijzig wachtwoorden van kritieke accounts vanaf een schoon apparaat.
Daarnaast blijft het belangrijk om altijd alert te zijn op SocGholish en vergelijkbare malwarecampagnes. Dus, bezoek je een website, let dan op volgende signalen:
- Vertrouw nooit blind op pop-ups in je browser
- Wees kritisch op meldingen die onmiddellijke actie vereisen.
- Ook pop-ups die er professioneel uitzien kunnen frauduleus zijn.
- Een echte update komt altijd via de officiële bron, bijvoorbeeld in je systeeminstellingen of in de appstore.
- Maak gebruik van een Ad-blocker om mogelijk schadelijke advertenties of pop-ups te blokkeren.
Meer informatie
Ben je op zoek naar meer informatie of verduidelijking?
Bekijk het handelingskader op de website van NCSC.
Lees het volledige persbericht van de politie
Bekijk meer informatie over Operatie Endgame en de betrokken samenwerkingspartners.
