image

Cerber-ransomware versleutelt nu ook databases bedrijven

zaterdag 5 november 2016, 15:19 door Redactie, 2 reacties

Een populaire ransomware-variant die eerst vooral tegen particulieren werd ingezet richt zich nu ook op bedrijven. Het gaat om de Cerber-ransomware waarvan de nieuwste versie databases kan versleutelen, zo meldt beveiligingsbedrijf McAfee. "Aanvallers beseffen dat consumenten misschien 300 tot 500 dollar voor hun bestanden betalen, maar bedrijven veel meer over hebben", zegt onderzoeker Matthew Rosenquist.

De nu ontdekte Cerber-variant kent drie belangrijke veranderingen, aldus McAfee. Zo verandert de ransomware de extensie van versleutelde bestanden naar vier willekeurige cijfers. Voorheen werden versleutelde bestanden van de extensie .cerber3 voorzien. De aanpassing zorgt ervoor dat het scannen naar versleutelde bestanden veel lastiger is geworden. Daarnaast zijn de betaalinstructies verbeterd en zien er volgens Rosenquist veel professioneler uit. "Dit kan slachtoffers meer vertrouwen geven dat ze met professionals te maken hebben en ze de sleutel voor het ontsleutelen van hun bestanden krijgen als ze betalen."

De belangrijkste aanpassing is echter dat de ransomware nu databaseprocessen probeert te stoppen zodat het de databases kan versleutelen. Rosenquist stelt dat dit een grote verandering is, aangezien databases voor veel organisaties belangrijke gegevens bevatten. Als de databasebestanden zijn geopend en in gebruik zijn zijn ze lastig te versleutelen. Cerber probeert daarom de databasesoftware te sluiten zodat het toch kan toeslaan. De Cerber-ransomware verspreidt zich onder andere via e-mailbijlagen, bijvoorbeeld als Word-document met kwaadaardige macro's.

Reacties (2)
05-11-2016, 17:47 door karma4
Een databases staat niet op een werkstation en is daarvandaan niet direct benaderbaar.
Als de high-privileged accounts voor het toolbeheer niet gecombineerd worden met de persoonlijke gebruiker hoe komt het dan op de server terecht? Een meer directe aanval zou rechtstreeks naar de database kunnen gaan als de admin functie via de cloud open staat. (PHP website is vrij gangbaar lek)
07-11-2016, 12:00 door Anoniem
Door karma4: Een databases staat niet op een werkstation en is daarvandaan niet direct benaderbaar.
Als de high-privileged accounts voor het toolbeheer niet gecombineerd worden met de persoonlijke gebruiker hoe komt het dan op de server terecht? Een meer directe aanval zou rechtstreeks naar de database kunnen gaan als de admin functie via de cloud open staat. (PHP website is vrij gangbaar lek)

Ransomware benaderd UNC shares even makkelijk als elke andere directory. Als een database geïnstalleerd kan het zo maar gebeuren dat ook dit versleuteld wordt. Ik weet uit (zeer persoonlijke) ervaring dat ransomware ook vervelende gevolgen kan hebben op file server (cough 90.000 bestanden besmet) Dat krijg je als een bedrijf business belangen boven security stelt.. en erger; ook zo acteerd. Nou is een database service account gelukkig nooit gelijk aan een usre id.. toch.. brrrr.. vervelende gedachte.

Ik kan alleen nergens terugvinden dat ook daadwerelijke databases besmet worden. Ik heb wel het één en ander kunnen vinden over database processen, maar geen woord over de gegevens zelf.

Eminus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.