Exploitkit Blackhole is volledig ingestort na de arrestatie van diens beheerder. Dat betekent niet dat we in ons land minder last hebben van malwarecampagnes, want cybercriminelen stappen rustig over op alternatieven om hun troep op sitebezoekers los te laten. Blackhole was populair, maar er zijn genoeg opties beschikbaar, zoals het in de VS bij cybergeboefte populaire Styx of exploitkit Red Dot.

Exploitkits zijn de afgelopen jaren bezig aan een grote opmars en zijn dé methode voor cyberbendes om malware te verspreiden. Meer achtergrondinformatie hierover lees je op Computerworld in Wat is een exploitkit?

Uit de Nederlandse cijfers die via het platform van F-Secure zijn binnengekomen de afgelopen maand, is duidelijk dat Blackhole zo goed als verdwenen is. De gedoodverfde opvolgers zijn Kore (ook bekend als Sibhost) en Sweet Orange, zo blijkt uit cijfers die het antivirusbedrijf met Webwereld deelt. Deze laatste kit werd vorige week al flink ingezet in Nederland.

Kore/Sibhost pleegt machtsgreep

Afhankelijk van de malwarecampagne die wordt gevoerd, is de verdeling van gebruikte exploitkits per week verschillend. Dat hangt namelijk af van welke tool cybercriminelen huren. Een campagne duurt doorgaans enkele dagen, vandaar de pieken en dalen per tool.

“Maar Kore lijkt al langere tijd populair te zijn”, vertelt beveiligingsdeskundige Sean Sullivan van F-Secure. “In Nederland zie je Kore over een periode van meerdere weken terugkeren, wat aangeeft dat de tool wordt ingezet voor meerdere malwarecampagnes.”

De echte troonopvolger

Kore is een relatief jonge exploitkit die in ons land de afgelopen weken werd ingezet op een schaal die voorheen was voorbehouden aan populaire spelers als Blackhole. De tool wordt vooral gebruikt door cybercriminelen die ransomware pushen, vertelt Sullivan.

Maar wat de echte opvolger van Blackhole is, wordt door de inzet van de kit tijdens verschillende campagnes pas goed duidelijk na een periode van enkele maanden.

Cijfers van Nederlandse gebruikers die tegen kwetsbaarheden aanlopen en uit welke tools deze afkomstig zijn. Deze zijn verzameld van aangesloten pc's, onder meer via de antivirusbeveiliging van provider KPN. Klik voor groot.

Bron: F-Secure