image

Ransomware die netwerken versleutelt gebruikt RDP als ingang

donderdag 15 februari 2018, 16:20 door Redactie, 7 reacties

De groep achter de beruchte SamSam-ransomware is nu al zo'n 2 jaar actief en door slecht beveiligde RDP-systemen nog steeds succesvol. Opmerkelijk aan SamSam, ook bekend als Samas, is dat de installatie van de ransomware handmatig plaatsvindt, complete netwerken worden versleuteld en er zeer hoge bedragen voor het ontsleutelen worden gevraagd.

Onlangs besloot een Amerikaans ziekenhuis de makers van SamSam nog 55.000 dollar te betalen om versleutelde bestanden te ontsleutelen. In tegenstelling tot andere ransomware, die vaak via bijlagen en exploits wordt verspreid, hackt de SamSam-groep organisaties. Eenmaal binnen wordt de ransomware op zoveel mogelijk systemen geïnstalleerd en wordt er actief naar back-ups gezocht om die te verwijderen of versleutelen.

In eerste instantie gebruikte de groep bekende kwetsbaarheden in JBoss-servers, waar organisaties de beschikbare updates niet voor hadden geïnstalleerd, om toegang tot netwerken te krijgen. Sinds vorig jaar wordt er echter van het Remote Desktop Protocol (RDP) gebruikmaakt. Via RDP is het mogelijk om op afstand op systemen in te loggen. Om toegang tot de RDP-systemen van organisaties te krijgen maakt de groep gebruik van bruteforce-aanvallen, zo laat securitybedrijf Secureworks in een vandaag gepubliceerd rapport weten.

Matt Webster van Secureworks sluit echter niet uit dat de groep ook gebruikmaakt van al gecompromitteerde RDP-systemen. Op internet zijn er criminelen die gehackte RPD-systemen van organisaties te koop aanbieden. De SamSam-groep zou zo toegang tot slachtoffers krijgen, aldus Webster in een interview met Security.NL. In de praktijk blijkt dat er tijd tussen het compromitteren van de RDP-gegevens of het RDP-systeem zit en de infectie door SamSam. Dat zou deze theorie ondersteunen.

Hoewel aanvallen van de groep tegen ziekenhuizen veel aandacht krijgen, worden ook andere sectoren getroffen, waaronder it-bedrijven, zakelijke dienstverleners, softwareontwikkelaars en horeca. De groep gaat daarbij opportunistisch te werk, zegt Webster. Met name kleinere organisaties die niet over goede incident response of beschikbare back-ups beschikken, of geen complex of gesegmenteerd netwerk hebben, kunnen zwaar door SamSam worden getroffen. Zo was een Amerikaans ziekenhuis zes weken door SamSam ontregeld.

Begin 2016 gaf de FBI een waarschuwing af voor SamSam. Nog altijd maakt de groep slachtoffers. De laatste campagne, die eind vorig jaar en begin dit jaar plaatsvond, zou de criminelen 350.000 dollar hebben opgeleverd. Dit is gebaseerd op de bekende Bitcoin-wallets waar slachtoffers het geld naar toe hebben overgemaakt. Het werkelijke bedrag kan echter hoger liggen, aangezien niet alle Bitcoin-wallets die de groep gebruikt bekend zijn.

Webster adviseert organisaties om hun RDP-systemen goed te beveiligen, back-ups te maken en over een incident-responseplan te beschikken en dit ook te testen. Daarnaast kan de groep door middel van systeemmonitoring ook tijdens de aanval zelf worden opgemerkt. De SamSam-groep werkt namelijk met bekende tools als Mimikatz.

Image

Reacties (7)
16-02-2018, 13:48 door Anoniem
Zijn er werkelijk nog bedrijven die RDP zomaar aan het internet hangen zonder het gebruik van een VPN verbinding dan of verdere maatregelen?
16-02-2018, 14:27 door Anoniem
Netwerken versleutelen ? Worden dan de routeringstabellen van routers gecrypt ofzo ? ;)
16-02-2018, 14:53 door Anoniem
Door Anoniem: Zijn er werkelijk nog bedrijven die RDP zomaar aan het internet hangen zonder het gebruik van een VPN verbinding dan of verdere maatregelen?

Enerzijds gebeurt dat nog wel eens als een soort "poor-mans" vpn, anderzijds zijn er ook nog steeds bijvoorbeeld printers direct met Internet verbonden.
Als er zich in zo'n netwerk 'toevallig' ook rdp servers bevinden... (Zou me niks verbazen als je hier ook vergeten SMB fileservers aan zou treffen).

Trouwens; vpn's vragen toch wel enige technische kennis, er zijn genoeg IT bedrijven zonder voldoende kennis hiervan en/of budget bij $klant...
17-02-2018, 13:13 door Anoniem
Door Anoniem: Zijn er werkelijk nog bedrijven die RDP zomaar aan het internet hangen zonder het gebruik van een VPN verbinding dan of verdere maatregelen?
Ja dat zijn de windows only bedrijven. SSH met alleen public key authenticatie (i.c.m. fail2ban) is veel veiliger en makkelijker om op te zetten. Maar ja dat is Linux he.
18-02-2018, 19:05 door karma4 - Bijgewerkt: 18-02-2018, 19:19
Door Anoniem:
Ja dat zijn de windows only bedrijven. SSH met alleen public key authenticatie (i.c.m. fail2ban) is veel veiliger en makkelijker om op te zetten. Maar ja dat is Linux he.
Iets wat zo opvraagbaar is de persoonlijke omgeving van een non privileged gebruiker? Het is vragen om problemen voor lekken private Keys. Nog kwalijker is dat het leidt tot ongecontroleerd delen van high privileged accounts.


Wat opvalt is dat security zoals admin:admin open sudo root hand in hand lijkt te gaan met linux

Ds opmerking over versleutelde netwerken is een aardige.
Voor de ICT specialist is dat een duidelijk stuk infrastructuur zoals routers. Voor het gangbare publieke journalisten is het iets technisch onduidelijk wat maar waarbij de machines met gegevens het niet meer doen.
19-02-2018, 08:27 door Tha Cleaner
Door Anoniem:
Door Anoniem: Zijn er werkelijk nog bedrijven die RDP zomaar aan het internet hangen zonder het gebruik van een VPN verbinding dan of verdere maatregelen?
Ja dat zijn de windows only bedrijven. SSH met alleen public key authenticatie (i.c.m. fail2ban) is veel veiliger en makkelijker om op te zetten. Maar ja dat is Linux he.
Valt wel mee. Wat is gemakkelijker? Het moet ook onderhouden worden, gecontroleerd worden. Daarnaast werkt SSH alleen goed voor Unix machine, en RDP juist gebruikt men juist om een desktop over te nemen. En waar draait bijna overal de desktop op?
19-02-2018, 17:36 door Anoniem
.NET malware..............
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.