Nigeriaanse hackers breken in bij bedrijf achter Weer.nl

Nigeriaanse hackers breken in bij bedrijf achter Weer.nl
10 augustus 2017 om 12:41
Laatste update: 26 april 2018 om 18:43

Het is Nigeriaanse hackers gelukt om in te breken bij Meteogroup Nederland: het bedrijf achter Weer.nl.

Het is het eerste Nederlandse slachtoffer van een grote malware-aanval, en beveiligingsbedrijf MalwareHunterTeam waarschuwt dat er meer kunnen volgen.

Twee dagen geleden ontving Meteogroup Nederland een opvallende mail: een waarschuwing dat er malware was aangetroffen op hun netwerk. De malware, genaamd Agent Tesla, sluist in het geniep alle inloggegevens door die het tegenkomt.

De Nederlandse werknemers van Meteogroup, dat met kantoren in zeventien landen één van de grootste weerbedrijven ter wereld is, dachten aanvankelijk dat de waarschuwingsmail spam was. RTL Z kreeg van MalwareHunterTeam bewijs in de vorm van mailadressen en de eerste letters van wachtwoorden. Pas nadat die informatie aan de systeembeheer van Meteogroup werd gegeven, nam het bedrijf actie.

Phishingmail

Het lukte de Nigeriaanse criminelen om malware op de laptop van de salesmanager van Meteogroup te installeren door hem een phishingmail te sturen. In de mail werd gevraagd om de contactgegevens van het bedrijf te controleren en het bijbehorende pdf-bestand te openen. De bijlage was een met malware besmet .iso-bestandtype, dat normaal gesproken voor kopieën voor cd's en dvd's wordt gebruikt.

De malware nestelde zich in het netwerk van Meteogroup en verzamelt alle inloggegevens die het daar tegenkomt. "Die gegevens kunnen worden gebruikt om toegang te krijgen tot de bankrekeningen van het bedrijf", zegt onderzoeker Guido Galego van MalwareHunterTeam. Ook kunnen de gegevens worden gebruikt om het bedrijf af te persen of zich voor te doen als hooggeplaatste werknemers van Meteogroup.

Erg succesvol

Galego kwam de malware op het spoor door één van de servers over te nemen die de malware aanstuurt en inloggegevens verzamelt. Op deze server vond hij tientallen slachtoffers, met name Europese bedrijven, waaronder één Nederlandse. De andere slachtoffers worden ook door MalwareHunterTeam benaderd en gewaarschuwd.

Het zijn volgens Galego Nigeriaanse criminelen: "Ze hebben zichzelf geïnfecteerd met de malware, als een soort test. Dat kunnen we zien op basis van de logbestanden van de overgenomen server." De groep is volgens de onderzoeker erg succesvol: "Ze voeren deze aanvallen wereldwijd uit en boeken er vaak succes mee."

Malware verwijderen

Galego raadt Meteogroup aan om de computer van de salesmanager op te schonen en de inloggegevens aan te passen. Zolang ze geïnfecteerd blijven worden alle inloggegevens naar deze Nigeriaanse criminelen doorgestuurd. Meteogroup zegt dat het bezig is om de laptop op te schonen en te onderzoeken in hoeverre het bedrijfsnetwerk is geïnfecteerd. Ook worden de inloggegevens aangepast.

MalwareHunterTeam waarschuwt dat er meer Nederlandse slachtoffers kunnen vallen; de hackers hebben de malware naar honderden bedrijven gestuurd.​ Elke dag nemen Galego en zijn team meerdere command-and-control-servers van criminelen over om het aantal slachtoffers te monitoren en hen te waarschuwen. Galego: "Zelfs met zo'n stomme email maken deze criminelen al langer honderden slachtoffers."

Lees meer over:

Deel via