Politie en OM openen de jacht op beruchte malwaregroep SocGholish in Driebergen, Den Haag

In Operatie Endgame is deze week met een grote actie een belangrijk netwerk van cybercriminelen verstoord. Binnen een internationaal samenwerkingsverband zijn 14.971 besmette websites, die besmet waren met SocGholish malware, opgeschoond. Deze malware wordt gebruikt door de beruchte internationaal opererende cybercriminele organisatie EvilCorp.

Lees het Engelse bericht

SocGholish misbruikt gehackte legitieme WordPress-websites om malware te verspreiden naar bezoekers, met als doel ongeautoriseerde toegang te verkrijgen tot hun computersystemen. WordPress is wereldwijd het meest gebruikte platform voor het bouwen van websites. Volgens WordPress zelf worden meer dan 43% van alle websites op het internet ondersteund met WordPress.

‘We constateerden dat de inloggegevens van 1,4 miljoen WordPress-sites gelekt zijn. Dat betekent dat deze websites vatbaar zijn om met malware besmet te worden. Zo’n 14.971 websites die alledaagse diensten aanbieden zijn geïnfecteerd geweest met deze malware. Denk hierbij aan websites van restaurants of autogarages’, vertelt Maikel Rollman van Team High Tech Crime. Hieke Buist, Plaatsvervangend hoofdofficier van het Landelijk Parket (LP), vult aan: ‘Met deze acties ontnemen we cybercriminelen de toegang tot geïnfecteerde computersystemen. Daarmee wordt verdere schade aan digitale systemen van burgers, bedrijven en organisaties wereldwijd voorkomen en wordt de verspreiding van malware beperkt. Ook verkleinen we hiermee het risico dat deze systemen worden misbruikt voor cyberaanvallen op vitale infrastructuur en andere essentiële maatschappelijke processen. Dit is het startschot voor verdere acties tegen de malwaregroep SocGholish.’

14.971 websites opgeschoond en verstoring van het SocGholish botnet

In de afgelopen dagen hebben Nederland, Canada (RCMP), de Verenigde Staten (FBI) en Duitsland (BKA), met ondersteuning van Europol en Eurojust, tijdens een gezamenlijke actieweek een grote slag toegebracht aan de criminele infrastructuur van SocGholish.

Wereldwijd werden 106 servers en domeinen neergehaald. 14.971 besmette websites zijn opgeschoond. Daarnaast zijn de volgende acties uitgevoerd:

Opschonen van geïnfecteerde WordPress sites en slachtoffernotificatie waarin voorheen geïnfecteerde WordPress eigenaren worden aangespoord hun website te updaten en inloggegevens aan te passen. Hierbij is in Nederland de hackbevoegdheid ingezet.Onklaar maken van het SocGholish botnet door het overnemen van domeinnamen en offline halen van servers.Slachtoffernotificatie voor eigenaren van WordPress websites waarvan gelekte inloggegevens zijn aangetroffen door de politie, via HaveIbeenPwned, DIVD, Spamhaus, CheckjeHack, NomoreLeaks, The Shadowserver Foundation en NCSC.

Op www.politie.nl/checkjehack kunt u kijken of uw inloggegevens voorkomen in de set.

Oproep aan alle eigenaren van een WordPress-website

Door de Nederlandse politie zijn de backdoors (mogelijke ingangen voor hackers) en geïnstalleerde malware op de besmette WordPress websites verwijderd. De eigenaren van deze WordPress websites zijn hierover geïnformeerd. Aan hen is de oproep gedaan om hun website beter te beveiligen. De politie heeft hen geadviseerd om de volgende beveiligingsmaatregelen te nemen:

Inloggegevens wijzigen.Multifactor authenticatie (MFA) aanzetten.Vreemde extra accounts in WordPress verwijderen.WordPress-site up-to-date houden in de toekomst.

Heeft u ook een WordPress-website? Voorkom dat u slachtoffer wordt in de toekomst door deze beveiligingsstappen toe te passen.

Bekijk ook het handelingskader op de website van NCSC.

Voorkom dat uw computer besmet wordt door SocGholish malware

SocGholish staat ook wel bekend als ‘FakeUpdates’. Hun malware wordt namelijk verspreid via valse software-updates, bijvoorbeeld voor internetbrowsers. Wanneer iemand zo’n nep-update installeert, opent de malware een verbinding met de hackers, die vervolgens toegang krijgen tot het computersysteem. Met deze zogeheten initiële toegang kan vervolgens nog gevaarlijkere software, zoals ransomware, geïnstalleerd worden.

Let op de volgende signalen om dit te voorkomen:

Vertrouw nooit zomaar pop-ups die opspringen in je browser.Vertrouw updates niet als ze overdreven flashy zijn en schreeuwen om onmiddellijke actie.Zorg voor een up-to-date virusscanner en laat deze ook aanstaan bij installatie van nieuwe software.Een echte update komt altijd via de officiële bron, bijvoorbeeld in de systeeminstellingen of in de appstore.SocGholish malware en Evil Corp

SocGholish is al sinds 2017 een constante dreiging en wordt gebruikt om malware te installeren bij gebruikers. Waaronder verschillende soorten ransomware die zijn gebruikt om vitale infrastructuren aan te vallen. Daarmee zijn al vele slachtoffers gemaakt. Dit gebeurt voornamelijk door websites die gemaakt zijn met WordPress te hacken en deze te infecteren met de malware. Daarnaast wordt misbruik gemaakt van Nederlandse infrastructuur (servers in Nederland).

SocGholish is gelieerd aan de Russische cybercriminele groepering EvilCorp. Deze groep is in het verleden verantwoordelijk geweest voor Zeus en Dridex malware en worden daarnaast in verband gebracht met verschillende grootschalige ransomware en witwasoperaties.

Over Operatie Endgame

Deze acties zijn onderdeel van Operatie Endgame die in 2024 gestart is, en is de grootste internationale operatie ooit in het bestrijden van ransomware en cybercrime wereldwijd.

In Operatie Endgame werken Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies en het Landelijk Parket van het OM nauw samen met de autoriteiten van Duitsland, Denemarken, de Verenigde Staten, Australië, Frankrijk, België, het Verenigd Koninkrijk en Canada - met ondersteuning van Europol en Eurojust.

Ook private partijen zijn nauw betrokken bij Operatie Endgame. 'De opsporingsdiensten en de cybersecuritysector hebben elkaar hard nodig om de digitale wereld zo veilig mogelijk te maken en houden', vertelt Maikel Rollman, Team High Tech Crime. 'Daarom werken we intensief samen met publieke en private partijen. Operation Endgame is hier een mooi voorbeeld van en daar gaan we mee door in de toekomst.'

Bekijk de samenwerkingspartners en informatie over de acties van Endgame op operation-endgame.com