Een internationale politieoperatie heeft een malwarenetwerk ontmanteld dat gelinkt is aan de Russische cybercrimegroep Evil Corp. Hierbij werden meer dan 100 servers uitgeschakeld en bijna 15.000 gehackte websites gereinigd die werden gebruikt om schadelijke software te verspreiden.

Autoriteiten uit Nederland, Canada, de Verenigde Staten en Duitsland maakten donderdag bekend dat zij cruciale onderdelen van het SocGholish-botnet hebben opgerold door domeinnamen in beslag te nemen en servers uit te schakelen. Deze servers werden ingezet om bezoekers van legitieme websites, waaronder kleine bedrijven zoals restaurants en autogarages, te infecteren. De Nederlandse politie verwijderde daarnaast malware en achterdeurtjes van duizenden geïnfecteerde WordPress-sites en bracht de eigenaren op de hoogte van de compromittering.

SocGholish, ook bekend als FakeUpdates, is sinds 2017 actief en verspreidt zich via valse browser- of software-update-meldingen op verder legitieme websites. Na installatie stelt de malware aanvallers in staat om extra schadelijke tools te plaatsen. Volgens de Cyber Division van de FBI vormt deze malware de eerste toegangspoort tot geïnfecteerde systemen, die samen een botnet vormen. Dit botnet wordt door dreigingsactoren gebruikt voor verdere aanvallen, waaronder ransomwarecampagnes en spionage.

SocGholish werd voor het eerst geïdentificeerd in 2017 en wordt al lange tijd in verband gebracht met Evil Corp, een van de beruchtste Russische cybercrimegroepen. Deze groep werd in 2019 door de Verenigde Staten gesanctioneerd vanwege hun betrokkenheid bij de ontwikkeling en verspreiding van de Dridex-bankingmalware, die wereldwijd voor meer dan 100 miljoen dollar aan financiële schade zorgde. Onderzoekers van cybersecuritybedrijf Infoblox, dat betrokken was bij de operatie, melden dat SocGholish ook als toegangspunt diende voor meerdere ransomwaregroepen, waaronder DoppelPaymer, WastedLocker, Hades, LockBit en RansomHub.

Maikel Rollman van de Nederlandse Nationaal High Tech Crime Unit gaf aan dat de operatie cybercriminelen de toegang tot geïnfecteerde systemen ontneemt, waardoor verdere schade aan personen, bedrijven en organisaties wereldwijd wordt voorkomen en de verspreiding van malware wordt beperkt. Hij benadrukte dat dit het begin is van verdere acties tegen SocGholish.