Politie haalt SocGholish-botnet offline, zet bij opschonen hackbevoegheid in

In dit artikel:

De Nederlandse politie heeft in een internationale actie servers en domeinen van het SocGholish-botnet uit de lucht gehaald en vele geïnfecteerde WordPress-sites schoongemaakt. De operatie, waarbij ook autoriteiten uit Canada, Duitsland en de Verenigde Staten samenwerkten met Europol en Eurojust, vond de afgelopen dagen plaats; de politie maakte de actie vandaag bekend. Meer dan honderd servers/domeinen zijn in beslag genomen en ongeveer 15.000 gehackte websites zijn opgeschoond. In Nederland maakte de politie daarbij gebruik van de zogeheten hackbevoegdheid om malware van getroffen sites te verwijderen.

SocGholish voedt gekraakte WordPress-sites met kwaadaardige code die bezoekers een zogenaamd browser‑updatebestand aanbiedt; wie dat bestand installeert krijgt malware binnen, waarmee aanvallers toegang tot systemen krijgen. Onderzoek toonde ook dat inloggegevens van circa 1,4 miljoen WordPress-accounts zijn gelekt, waardoor veel sites extra kwetsbaar waren.

Politieonderzoekers hebben backdoors en schadelijke scripts verwijderd en eigenaren geïnformeerd. Sitebeheerders werden opgeroepen wachtwoorden te veranderen, multi‑factor authenticatie in te schakelen, verdachte accounts te verwijderen en software actueel te houden. Volgens de politie is SocGholish al actief sinds 2017 en wordt het gebruikt om uiteenlopende malware te verspreiden, onder meer ransomware die ook kritieke infrastructuur trof. De botnetactiviteiten worden in verband gebracht met de criminele groep EvilCorp, die eerder verantwoordelijk werd gehouden voor onder meer Zeus- en Dridex‑malware en grootschalige ransomware‑ en witwasoperaties.