Ransomwaregroep verspreidt malware via gehackte websites en ClickFix

In dit artikel:

De ransomwaregroep LeakNet gebruikt gehackte WordPress-sites en de zogenaamde ClickFix-methode om malware te verspreiden, meldt securitybedrijf ReliaQuest. Bezoekers van geïnfecteerde sites krijgen een valse CAPTCHA te zien met instructies die hen ertoe brengen een kwaadaardig commando uit te voeren; dat commando downloadt en start de malware op het systeem. ReliaQuest zegt niet hoe de WordPress-sites precies zijn gekraakt. Eerder waarschuwde Rapid7 al voor honderden gehackte sites die via een Cloudflare‑CAPTCHA infostealers verspreiden.

In het geval van LeakNet wordt niet langer primair een infostealer ingezet maar wordt de Deno-runtime geïnstalleerd om schadelijke code uit te voeren, veelal in het geheugen om detectie te bemoeilijken. De groep gooit een breed net uit en vertrouwt op massa‑aanvallen in plaats van specifieke doelwitten; na infectie proberen de aanvallers lateraal door het netwerk te bewegen, data te stelen en systemen te versleutelen. Een recent groot datalek bij de gemeente Epe is gelinkt aan een ClickFix-aanval. Preventie: houd WordPress en plug-ins up‑to‑date, train gebruikers om geen verdachte commando’s uit te voeren, beperk uitvoerrechten en monitor ongebruikelijke processen (zoals onverwachte Deno‑activiteit) en netwerkverkeer.