‘Bedrijf met WordPress-site moet in actie komen na malware-zaak Endgame’

VNO-NCW en MKB-Nederland roepen ondernemers met een WordPress-website op om zo snel mogelijk hun beveiliging te controleren. Dat doen ze naar aanleiding van een grote actie deze week van de Nederlandse politie en OM in samenwerking met internationale partners tegen SocGholish, malware die wereldwijd legitieme WordPress-sites kaapt om bezoekers te besmetten. 14.971 besmette sites zijn inmiddels opgeschoond. Onder de slachtoffers in Nederland bevinden zich onder meer restaurants, autogarages en andere mkb-bedrijven met een eigen website.

Voor VNO-NCW en MKB-Nederland laat deze zaak opnieuw zien waarom cybersecurity zo’n belangrijk thema is. Weerbaarheid begint bij de basis op orde: sterke wachtwoorden, meervoudige inlogbeveiliging en software die je bijhoudt.

Vatbaar voor besmetting

SocGholish misbruikt gehackte WordPress-sites om malware te verspreiden naar bezoekers. Deze sites zijn een aantrekkelijk doelwit omdat WordPress wereldwijd het meest gebruikte platform is om websites te bouwen. De politie heeft geconstateerd dat de inloggegevens van 1,4 miljoen WordPress-sites zijn gelekt. Daarmee zijn die sites vatbaar om besmet te raken. 14.971 websites die alledaagse diensten aanbieden zijn geïnfecteerd geweest met deze malware.

Schade gaat verder dan eigen site

Slachtoffers van SocGholish zijn vaak kleinere bedrijven die zelden een eigen IT-afdeling hebben en mogelijk niet goed zijn beveiligd. Die groep wordt geraakt via gelekte wachtwoorden en een verborgen achterdeur in de site en bezoekers halen zonder het te weten malware binnen. De schade gaat bovendien verder dan de eigen website en de systemen van bezoekers. Besmette systemen worden ook ingezet voor aanvallen op andere bedrijven en op vitale infrastructuur.

Nep-updates

SocGholish staat ook bekend als ‘FakeUpdates’. De malware wordt verspreid via valse software-updates, bijvoorbeeld voor internetbrowsers. Wie zo’n nep-update installeert, opent een verbinding met de criminelen, die vervolgens toegang krijgen tot het systeem. Via die eerste toegang kan daarna zwaardere software zoals ransomware worden geïnstalleerd. De malware is sinds 2017 een constante dreiging en wordt in verband gebracht met de Russische cybercriminele groep EvilCorp, eerder verantwoordelijk voor de Zeus- en Dridex-malware.

Operatie Endgame

Met hun actie deze week hebben politie, OM en internationale partners SocGholish een grote slag toegebracht. De actie is onderdeel van Operatie Endgame, de grootste internationale operatie ooit tegen ransomware en cybercrime. Daarbij hebben zij wereldwijd 106 servers en domeinen offline gehaald. In totaal zijn 14.971 besmette WordPress-sites gedesinfecteerd en is het botnet achter SocGholish verstoord.

Wat te doen

Ondernemers die een WordPress-site beheren (of zelfs bezoeken), doen er goed aan om zo snel mogelijk in actie komen. Politie en NCSC hebben hiervoor factsheets gemaakt met concrete stappen die zij moeten zetten. De een is bedoeld voor de gebruiker die websites bezoekt, de andere voor de beheerder van een WordPress-site.

Wilt u weten of uw inloggegevens in de gelekte set voorkomen? Check dat via politie.nl/checkjehack. Het uitgebreide handelingskader staat op ncsc.nl.