Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 14 mei 2025

WithSecure Onthult Trojaniseerde KeePass-campagne bij Ransomware-onderzoek

De Incident Response en Threat Intelligence teams van WithSecure hebben een geavanceerde cyberaanval ontdekt die een getrojaniseerde versie van de populaire open-source wachtwoordmanager KeePass misbruikte. Deze ontdekking werd gedaan tijdens een onderzoek naar een ransomware-incident in februari 2025.

Security Cybercrime
WithSecure Onthult Trojaniseerde KeePass-campagne bij Ransomware-onderzoek image

WithSecure dringt er bij organisaties op aan waakzaam te blijven voor supply chain compromitteringen, downloads zorgvuldig te verifiëren en te controleren op ongebruikelijk gedrag rondom gegevensopslagsystemen.

Het onderzoek wees uit dat aanvallers de broncode van KeePass hadden aangepast en deze hadden ondertekend met legitieme certificaten. Dit creëerde een ogenschijnlijk vertrouwde, maar kwaadaardige versie die werd verspreid via malvertising op zoekmachines. Deze gemanipuleerde KeePass-installer exfiltreerde in het geheim de inhoud van wachtwoorddatabases, terwijl het ook diende als aflevermechanisme voor post-exploitatie tools zoals Cobalt Strike beacons.

WithSecure heeft de kwaadaardige infrastructuur gekoppeld aan een productieve Initial Access Broker (IAB) die de afgelopen twee jaar geassocieerd is met talloze ransomware-aanvallen. Hun bevindingen benadrukken dat de campagne, die al minstens acht maanden actief is, waarschijnlijk een breed scala aan slachtoffers wereldwijd heeft getroffen – velen van hen zijn zich nog steeds niet bewust van de inbreuk.

Campagne

"Aanvallen zoals deze vormen een reële uitdaging voor netwerkverdedigers. Onopgemerkte malware, verspreid via advertenties op vertrouwde zoekmachines, omzeilt zowel menselijke argwaan als technische controles," aldus Timothy West, Director, Threat Intelligence & Outreach bij WithSecure. "De geavanceerdheid en heimelijkheid van deze campagne demonstreren de evoluerende capaciteiten van ransomware-actoren en onderstrepen de efficiëntie van de gebruikte technieken bij het effectief aanvallen van Europese organisaties."

Verdere analyse bracht een breder crimineel ecosysteem aan het licht dat valse software-downloads verspreidt via malvertising, gericht op meerdere legitieme merken naast KeePass. De aanvalsinfrastructuur en -methoden vertonen links naar ransomwaregroepen die historisch gezien verbonden zijn met Black Basta en BlackCat, hoewel de definitieve toeschrijving complex blijft vanwege de toenemende adoptie van 'as-a-service' criminele modellen.

"Er is vrijwel zeker een aanzienlijk aantal slachtoffers gerelateerd aan deze KeePass-campagne, die naar onze mening ongedocumenteerd en voortdurend is," concludeerde West.

Lees het volledige rapport hier: https://labs.withsecure.com/publications/keepass-trojanised-in-advanced-malware-campaign

EGP 06/05/2025 t/m 03/06/2025 BW DIC Security Day BW tm 1 juli 2025

Dutch IT events

Event icon

Event

SAIL 2025

Event icon

Event

Dutch IT Security Day

Alle events
Gartner BN tm 12-11-2025 - 3

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.