De Europese Unie en het Verenigd Koninkrijk hebben gezamenlijk sancties opgelegd aan meerdere Russische personen en entiteiten die zich richten op overheidsnetwerken en kritieke infrastructuur in Europa. De sancties zijn gericht op hoge officieren en operators van de Russische militaire inlichtingendienst (GRU) en vier entiteiten die gelinkt zijn aan de Federale Veiligheidsdienst (FSB). Volgens officials zet de Russische overheid deze staatsgesponsorde eenheden in samenwerking met ingehuurde cybercriminelen en private bedrijven in om systematisch internationale partners te destabiliseren en belangrijke infrastructuur op het continent te compromitteren.
Vanuit het Amerikaanse ministerie van Financiën zijn twee personen en een aanbieder van een virtueel privénetwerk (VPN) gesanctioneerd vanwege hun actieve rol in het faciliteren van ransomware-aanvallen op Amerikaanse organisaties. Het Office of Foreign Assets Control (OFAC) stelde First VPN Service (1VPNS) en diens beheerder Dmytro Rashevskyi aan de sanctielijst omdat zij infrastructuur leverden waarmee cybercriminelen hun identiteit konden verbergen en gestolen data konden beheren. Deze dienst, die in mei vorig jaar door wetshandhaving werd ontmanteld, negeerde klachten over misbruik en hield geen gebruikerslogs bij. Daarnaast werd Yegeniy Silayev gesanctioneerd voor het ontwikkelen van cryptors die malware verbergen. Onderzoekers schatten dat deze tools en diensten direct hebben bijgedragen aan financiële schade van miljarden dollars in kritieke sectoren.
Amerikaanse federale aanklagers maakten deze week ook bekend dat zij aanklachten hebben ingediend tegen drie Russische staatsburgers die bulletproof hostingdiensten exploiteerden die wereldwijd meer dan 62 miljoen dollar aan ransomware-schade mogelijk maakten. De verdachten Aleksandr Volosovik, Yulia Pankova en Kirill Zatolokin zouden de platforms "Media Land" en "ML Cloud" beheren, die essentiële infrastructuur boden aan syndicaten zoals Lockbit, Play en Blacksuit. Deze hostingdiensten beschermden cybercriminelen door klachten van slachtoffers en verzoeken tot verwijdering van wetshandhaving te negeren. Om deze keten te verstoren, biedt het Amerikaanse ministerie van Buitenlandse Zaken een beloning van 10 miljoen dollar voor bruikbare informatie over buitenlandse overheidsverbindingen met deze hostingproviders, zoals vermeld op de beloningspagina.
Daarnaast hebben cybersecurityonderzoekers een financieel gemotiveerde Russische dreigingsactor geïdentificeerd, bekend als UAT-11795, die sinds juni 2025 trojanized applicaties gebruikt om gebruikerscredentials en cryptocurrency te stelen. Deze actor richt zich voornamelijk op gebruikers in de Verenigde Staten, Duitsland, Roemenië en Venezuela. De aanvallers verspreiden hun schadelijke software via vermomde installaties van legitieme programma's zoals WebEx, Zoom, MobaXterm, DBeaver en FaceIT, vermoedelijk via social engineering-methoden zoals ClickFix. De infectieketen begint meestal met het uitvoeren van een kwaadaardig HTA-bestand, dat een aangepast NSIS-installatieprogramma ophaalt met een verborgen Python-loader die zich voordoet als een tekstbestand. Deze loader wijzigt het Windows-register voor blijvende toegang en zet de Starland remote access trojan (RAT) uit. Starland controleert of het in een sandbox draait, maakt geplande taken aan en probeert systeemrechten te escaleren. Het malwareprogramma verzamelt browserdata, cryptocurrency-wallets, systeemconfiguraties, antivirusproducten en Active Directory-informatie. Naast datadiefstal kan Starland screenshots maken, willekeurige shell-commando's uitvoeren en secundaire payloads ophalen. Afhankelijk van de systeemarchitectuur kan het malwarepakket de CastleStealer infostealer of de Remcos RAT injecteren. De communicatie met command & control-servers verloopt via Telegram-kanalen die door UAT-11795 worden beheerd, zoals beschreven in het onderzoek van Cisco Talos.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *