Overslaan naar hoofdinhoud
resources

Crouching Yeti-malware (Energetic Bear)

DEFINITIE VAN VIRUS

Type virus: Malware/Advanced Persistent Threat (APT)

Wat is het?

Crouching Yeti is een dreiging die bij meerdere advanced persistent threat-campagnes (APT-campagnes) betrokken is geweest sinds het eind van 2010.

De dreiging is met name gericht op deze sectoren:

  • Industriële/machinebouwsector
  • Productie
  • Farmaceutische industrie
  • Bouw
  • Onderwijslicentie
  • IT

Uit uitgebreid onderzoek is gebleken dat het grootste aantal slachtoffers onder de industriële/machinebouwsector valt. Dit is een goede indicatie dat deze sector de speciale interesse heeft van de aanvallers.

De Crouching Yeti-dreiging maakte gebruik van drie methoden om de computers van slachtoffers te besmetten: Spearphishingmails die pdf-documenten zijn toegevoegd met een Adobe Flash-kwetsbaarheid (CVE-2011-0611)

Details dreiging

Crouching Yeti is niet echt een uitgekiende campagne te noemen. De aanvallers gebruikten bijvoorbeeld geen zero-day-exploits, alleen exploits die algemeen beschikbaar zijn op internet. Dat kon voorkwam echter niet dat de campagne jarenlang onopgemerkt bleef.

In totaal zijn er wereldwijd meer dan 2800 bevestigde slachtoffers, waarvan volgens Kaspersky Lab-onderzoekers 101 bedrijven. Deze lijst met slachtoffers lijkt te wijzen op Crouching Yeti's interesse in strategische doelen. Toch lijken ook minder voor de hand liggende instellingen interessant te zijn.

Volgens de deskundigen van Kaspersky Lab lijkt de tweede groep vooral uit indirecte slachtoffers te bestaan. Toch is het misschien verstandig om Crouching Yeti niet alleen als een zeer gerichte campagne te zien met één specifieke sector als doel, maar ook als een brede surveillancecampagne met interesse in verschillende sectoren.

Hoe weet ik of mijn computer geïnfecteerd is met Crouching Yeti?

De beste manier om vast te stellen of je het slachtoffer van Crouching Yeti geworden bent, is door na te gaan of er een inbraak in je systeem is geweest. Een dreiging kan worden geïdentificeerd met een sterk anti-virusproduct zoals Kaspersky Anti-Virus.

Kaspersky Lab-producten detecteren de malware die betrokken is bij de Crouching Yeti-campagne met de volgende dreigingsdefinities:

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

Hoe kan ik mijn systeem beschermen tegen Crouching Yeti

  • Houd al je software up-to-date. Geen van de exploits die door Crouching Yeti-dreigingen gebruikt werden, waren zero-day-aanvallen; de meerderheid van de besmettingen had voorkomen kunnen worden door het gebruik van up-to-date software van derden.
  • Installeer een beveiligingsoplossing en houd die bijgewerkt om virusinfecties tegen te gaan.
  • Kennis is een belangrijk onderdeel van veiligheid, zeker als het om spearphishingmails gaat.

Crouching Yeti-malware (Energetic Bear)

Wat is de Crouching Yeti-malware (Energetic Bear), wat doet deze en is je computer besmet? Ontdek hoe je je apparaten kunt beveiligen.
Kaspersky Logo