Top 5 malwarebedreigingen waartegen u zich moet voorbereiden in 2025

2024 kende een behoorlijk aantal spraakmakende cyberaanvallen, waarbij bedrijven zo groot als Dell en TicketMaster het slachtoffer werden van datalekken en andere inbreuken op de infrastructuur. In 2025 zal deze trend zich voortzetten. Om voorbereid te zijn op elke vorm van malware-aanval moet elke organisatie dus vooraf weten wat haar cybervijand is. Hier zijn vijf veelvoorkomende malwarefamilies die u nu kunt voorbereiden om deze tegen te gaan.

Lumma

Lumma is een algemeen verkrijgbare malware die is ontworpen om gevoelige informatie te stelen. Het wordt sinds 2022 openlijk verkocht op het Dark Web. Deze malware kan effectief gegevens van gerichte applicaties verzamelen en exfiltreren, waaronder inloggegevens, financiële informatie en persoonlijke gegevens.

Lumma wordt regelmatig bijgewerkt om de mogelijkheden ervan te verbeteren. Het kan gedetailleerde informatie van gecompromitteerde systemen registreren, zoals browsegeschiedenis en cryptocurrency-portemonneegegevens. Het kan worden gebruikt om andere kwaadaardige software op geïnfecteerde apparaten te installeren. In 2024 werd Lumma via verschillende methoden verspreid, waaronder valse CAPTCHA-pagina’s, torrents en gerichte phishing-e-mails.

Analyse van een Lumma-aanval

Proactieve analyse van verdachte bestanden en URL’s binnen een sandbox-omgeving kan u effectief helpen Lumma-infectie te voorkomen.

Laten we eens kijken hoe u dit kunt doen met de cloudgebaseerde sandbox van ANY.RUN. Het levert niet alleen definitieve uitspraken over malware en phishing, samen met bruikbare indicatoren, maar maakt ook realtime interactie met de dreiging en het systeem mogelijk.

Kijk eens naar deze analyse van een Lumma-aanval.

Het begint met een archief dat een uitvoerbaar bestand bevat. Zodra we het .exe-bestand starten, registreert de sandbox automatisch alle processen en netwerkactiviteiten, waarbij Lumma’s acties worden weergegeven.

Het maakt verbinding met de command-and-control (C2)-server.

Vervolgens begint het gegevens van de machine te verzamelen en te exfiltreren.

Nadat we de analyse hebben afgerond, kunnen we een rapport over dit voorbeeld exporteren, met alle belangrijke indicatoren van compromissen (IOC’s) en TTP’s die kunnen worden gebruikt om de verdediging tegen mogelijke Lumma-aanvallen in uw organisatie te verrijken.

Probeer alle functies van ANY.RUN’s Interactive Sandbox gratis met een proefperiode van 14 dagen

XWorm

XWorm is een kwaadaardig programma dat cybercriminelen op afstand controle geeft over geïnfecteerde computers. Het verschijnt voor het eerst in juli 2022 en kan een breed scala aan gevoelige informatie verzamelen, waaronder financiële details, browsegeschiedenis, opgeslagen wachtwoorden en portemonneegegevens van cryptocurrency.

Met XWorm kunnen aanvallers de activiteiten van slachtoffers volgen door toetsaanslagen te volgen, webcambeelden vast te leggen, naar audio-invoer te luisteren, netwerkverbindingen te scannen en geopende vensters te bekijken. Het kan ook toegang krijgen tot het klembord van de computer en het manipuleren, waardoor mogelijk de inloggegevens van de cryptocurrency-portemonnee worden gestolen.

In 2024 was XWorm betrokken bij veel grootschalige aanvallen, waaronder aanvallen waarbij gebruik werd gemaakt van CloudFlare-tunnels en legitieme digitale certificaten.

Analyse van een XWorm-aanval

Bij deze aanval kunnen we de originele phishing-e-mail zien, die een link naar een Google-drive bevat.

Zodra we de link volgen, wordt ons aangeboden een archief te downloaden dat is beveiligd met een wachtwoord.

Het wachtwoord vindt u in de e-mail. Nadat we het hebben ingevoerd, hebben we toegang tot een .vbs-script in het .zip-bestand.

Zodra we het script starten, detecteert de sandbox onmiddellijk kwaadaardige activiteiten, wat uiteindelijk leidt tot de implementatie van XWorm op de machine.

AsynchroneRAT

AsyncRAT is een andere trojan voor externe toegang op de lijst. Het werd voor het eerst gezien in 2019 en werd aanvankelijk verspreid via spam-e-mails, waarbij de COVID-19-pandemie vaak als lokmiddel werd misbruikt. Sindsdien heeft de malware aan populariteit gewonnen en bij verschillende cyberaanvallen gebruikt.

AsyncRAT is in de loop van de tijd geëvolueerd en omvat een breed scala aan kwaadaardige mogelijkheden. Het kan in het geheim de schermactiviteit van een slachtoffer registreren, toetsaanslagen registreren, extra malware installeren, bestanden stelen, permanent aanwezig blijven op geïnfecteerde systemen, beveiligingssoftware uitschakelen en aanvallen lanceren die gerichte websites overweldigen.

In 2024 bleef AsyncRAT een aanzienlijke bedreiging, vaak vermomd als illegale software. Het was ook een van de eerste malwarefamilies die werd verspreid als onderdeel van complexe aanvallen met door AI gegenereerde scripts.

Analyse van een AsyncRAT-aanval

In deze analysesessie kunnen we een ander archief zien met daarin een kwaadaardig uitvoerbaar bestand.

Door het bestand tot ontploffing te brengen, wordt de uitvoeringsketen van XWorm gestart, waarbij PowerShell-scripts worden gebruikt om extra bestanden op te halen die nodig zijn om de infectie te vergemakkelijken.

Zodra de analyse is voltooid, geeft de sandbox het definitieve oordeel over het monster weer.

Remco’s

Remcos is malware die door de makers ervan op de markt is gebracht als een legitiem hulpmiddel voor externe toegang. Sinds de lancering in 2019 is het bij talloze aanvallen gebruikt om een ​​breed scala aan kwaadaardige activiteiten uit te voeren, waaronder het stelen van gevoelige informatie, het op afstand besturen van het systeem, het opnemen van toetsaanslagen, het vastleggen van schermactiviteit, enz.

In 2024 maakten campagnes om Remcos te verspreiden gebruik van technieken zoals scriptgebaseerde aanvallen, die vaak beginnen met een VBScript dat een PowerShell-script lanceert om de malware te implementeren, en maakten ze misbruik van kwetsbaarheden zoals CVE-2017-11882 door gebruik te maken van kwaadaardige XML-bestanden.

Analyse van een Remcos-aanval

In dit voorbeeld worden we geconfronteerd met een andere phishing-e-mail met een .zip-bijlage en een wachtwoord ervoor.

De uiteindelijke payload maakt gebruik van de opdrachtprompt en Windows-systeemprocessen om Remcos te laden en uit te voeren.

De ANY.RUN-sandbox wijst voor het gemak de volledige aanvalsketen toe aan de MITRE ATT&CK-matrix.

LockBit

LockBit is een ransomware die zich voornamelijk richt op Windows-apparaten. Het wordt beschouwd als een van de grootste ransomware-bedreigingen en is verantwoordelijk voor een substantieel deel van alle Ransomware-as-a-Service (RaaS)-aanvallen. Het gedecentraliseerde karakter van de LockBit-groep heeft het mogelijk gemaakt talloze spraakmakende organisaties over de hele wereld in gevaar te brengen, waaronder het Britse Royal Mail en het Indiase National Aerospace Laboratories (in 2024).

Wetshandhavingsinstanties hebben stappen ondernomen om de LockBit-groep te bestrijden, wat heeft geleid tot de arrestatie van verschillende ontwikkelaars en partners. Ondanks deze inspanningen blijft de groep opereren, met plannen om in 2025 een nieuwe versie, LockBit 4.0, uit te brengen.

Analyse van een LockBit-aanval

Bekijk deze sandbox-sessie, die laat zien hoe snel LockBit bestanden op een systeem infecteert en codeert.

Door wijzigingen in het bestandssysteem bij te houden, kunnen we zien dat 300 bestanden in minder dan een minuut zijn gewijzigd.

De malware laat ook een losgeldbrief achter, met gedetailleerde instructies voor het terugkrijgen van de gegevens.

Verbeter uw proactieve beveiliging met de interactieve sandbox van ANY.RUN

Het proactief analyseren van cyberdreigingen in plaats van erop te reageren zodra ze een probleem voor uw organisatie worden, is de beste handelwijze die een bedrijf kan nemen. Vereenvoudig het met de interactieve sandbox van ANY.RUN door alle verdachte bestanden en URL’s te onderzoeken in een veilige virtuele omgeving waarmee u kwaadaardige inhoud gemakkelijk kunt identificeren.

Met de ANY.RUN-sandbox kan uw bedrijf:

  • Detecteer en bevestig snel schadelijke bestanden en links tijdens geplande controles.
  • Onderzoek hoe malware op een dieper niveau werkt om de tactieken en strategieën ervan te onthullen.
  • Reageer effectiever op beveiligingsincidenten door belangrijke inzichten in bedreigingen te verzamelen via sandbox-analyse.

Probeer alle functies van ANY.RUN met een gratis proefperiode van 14 dagen.

Thijs Van der Does