NU.nl verspreidde rootkit door cyberaanval

NU.nl is het slachtoffer geworden van een aanval, die de website misbruikt zouden hebben om een rootkit bij bezoekers te installeren die gebouwd is om bankrekeningen te legen. Geen van de 43 virusscanners op VirusTotal.com kon het gevaarlijke Trojaanse paard onderscheppen. 

Het lek werd bij toeval ontdekt door Mark Loman, die een presentatie gaf. De aanval was voornamelijk gericht op gebruikers die verouderde software zoals Java, Flash Player en Adobe Reader gebruikten.

Na onderzoek is gebleken dat de aanvaller de inloggegevens van het CMS (Content Management System) in handen had, waardoor hij toegang had tot de webserver. Hier plaatste hij een script dat de rootkit downloadde van de server in India. De zogenoemde malware werd alleen tussen 11:30 en 12:30 uur aangeboden.

NU.nl heeft al laten weten dat alle inloggegevens geblokkeerd zijn en dat beheerders nieuwe inloggegevens hebben gekregen. Ook word de geinstalleerde software grondig onder de loep genomen: “De site wordt nu geheel opnieuw geïnstalleerd, wat naar verwachting rond 02.00 zal zijn afgerond. Zowel intern als extern worden extra veiligheidsscans uitgevoerd. We stellen bovendien een uitgebreid onderzoek in en daar waar mogelijk worden er verbeteringen aangebracht.