Bedrijven moeten op hun hoede zijn voor de Zeus-crimeware, dat een hoog risico vormt voor organisaties. Via Zeus, dat gebruikt kan worden voor het samenstellen van diverse soorten ‘maatwerkmalware’, kunnen criminelen inloggegevens stelen. Daarmee kunnen ze vervolgens toegang krijgen tot op het web gebaseerde enterprise-applicaties of online bankrekeningen.
Zeus komt binnen bij organisaties doordat werknemers, klanten en ook bedrijfspartners de malware onbedoeld downloaden. Dat gebeurt op bedrijfsapparatuur of op persoonlijke apparaten, die ze dankzij BYOD (Bring Your Own Device) voor hun werk (mogen) gebruiken. Als deze gebruikers vervolgens via zo’n geïnfecteerd apparaat inloggen op een dienst of applicatie via het web, dragen ze vertrouwelijke informatie over aan kwaadwillenden.
“Zeus is krachtige crimeware en grote organisaties moeten hiervan op de hoogte zijn om zich er beter tegen te kunnen verdedigen”, zegt Stuart Scholly, senior vice-president en general manager van Akamai’s Security Business Unit.
Recente high-profile cyberinbraken Criminelen die Zeus gebruiken zijn verantwoordelijk voor diverse recente grootschalige cyberinbraken. Computers, smartphones en tablets zijn geïnfecteerd met de Zeus-bot (zbot). Op deze manier worden zakelijke systemen en apparaten geronseld voor gebruik door criminelen. Via zo’n botnet kunnen bijvoorbeeld gebruikersdata van de geïnfecteerde apparaten gestolen worden. Ook kunnen deze data worden ingezet voor grootschalige DDoS-aanvallen.
Zeus maakt het voor aanvallers mogelijk om allerlei data te verzamelen, waaronder gebruikersnamen en wachtwoorden om in te loggen op andere systemen. Deze logingegevens worden door de gebruiker ingevoerd in de webbrowser van een geïnfecteerd apparaat en daarbij onderschept en doorgestuurd. Daarnaast kan een aanvaller ook eigen velden toevoegen aan een webformulier op een legitieme, niet besmette site. Het slachtoffer kan er vervolgens toe gezet worden om meer informatie vrij te geven dan datgene dat de legitieme site normaal gesproken vereist, zoals een PIN-code op een banksite. Het is voor de aanvallers zelfs mogelijk om op afstand screenshots te maken, zodat ze letterlijk zien wat hun slachtoffer op het scherm ziet.
Al deze data worden doorgestuurd naar een ‘Command & Control’ systeem waar de oogst wordt gesorteerd, doorzocht, gebruikt en eventueel doorverkocht. Het meest waarschijnlijke doel voor de buitgemaakte data is identiteitsdiefstal, maar het kan ook verkocht worden aan een concurrent van de onderneming. Of gebruikt worden om reputatie- of imagoschade aan te richten bij de betreffende de organisatie.
Bedrijfsgeheimen stelen De mogelijkheden voor datadiefstal zijn groot, omdat veel enterprise applicaties en cloud diensten toegankelijk zijn vanaf het web. Aanbieders van PaaS (Platform-as-a-Service) en SaaS (Software-as-a-Service) lopen het risico om slachtoffer te worden. De vertrouwelijke informatie van hun klanten, inclusief bedrijfsgeheimen, kan in verkeerde handen vallen. Een inbreuk op de data-integriteit kan naast reputatieschade ook operationele impact hebben.
Onzichtbaar voor antivirus Het succes van Zeus voor cybercriminelen is voor een groot deel te danken aan de extreme ‘stealth’-mogelijkheden die deze crimeware biedt. Het wordt dan ook al jaren gebruikt om malware te verspreiden en informatie te vergaren. De bestanden die Zeus ongemerkt plant op besmette apparaten zijn verborgen, de verzamelde informatie wordt verhuld en firewalls worden uitgeschakeld. De communicatie met de command & control-servers valt ook gedistribueerd op te zetten, waardoor het spoor naar de aanvallers moeilijk is te volgen.
