image

Nederlandse sollicitatiemail bevat GandCrab-ransomware

woensdag 3 oktober 2018, 17:37 door Redactie, 13 reacties

Verschillende bedrijven hebben de afgelopen dagen een Nederlandse sollicitatiemail ontvangen die zogenaamd een cv bevat, maar in werkelijkheid een versie van de GandCrab-ransomware blijkt te zijn, zo meldt RTL Nieuws. Het gebruik van cv's om ransomware te verspreiden vindt al vele jaren plaats.

Onlangs raakten systemen van de Schotse bierbrouwer Arran via een zogenaamde cv nog met ransomware besmet. De Nederlandstalige sollicitatiemail heeft als bijlage een zip-bestand. De inhoud van dit zip-bestand bevat weer de ransomware die allerlei bestanden op de computer en aangesloten netwerkschijven versleutelt. Voor het ontsleutelen moeten slachtoffers duizend euro betalen. RTL meldt dat één bedrijf zelfs gebeld zou zijn dat er een sollicitatie hun kant op kwam, waarna een medewerker de bijlage opende. Ook dit is een tactiek die criminelen al langere tijd toepassen.

Afgelopen maandag gaf de politie nog een waarschuwing voor de GandCrab-ransomware. Deze ransomware bestaat al sinds januari van dit jaar. De nieuwste versie maakt misbruik van een recent gepatchte kwetsbaarheid in Windows om systeemrechten te krijgen. GandCrab is wereldwijd actief. Eerder dit waarschuwde het Amerikaanse ministerie van Homeland Security dat verschillende Amerikaanse overheden door de ransomware waren getroffen.

Image

Reacties (13)
03-10-2018, 17:49 door Anoniem
Ja als ik zon mooie dame zie zou ik ook willen kijken wie het is en haar uitnodigen voor een gesprek....
03-10-2018, 18:05 door Anoniem
Iemand een idee hoe je het beste word, zip bestanden, pdf bestanden van een vreemde het beste kan openen?
Als je dit echt noodzakkelijk moet openen bijvoorbeeld bij sollicitatie gespreken.
03-10-2018, 18:45 door Anoniem
Door Anoniem: Iemand een idee hoe je het beste word, zip bestanden, pdf bestanden van een vreemde het beste kan openen?
Als je dit echt noodzakkelijk moet openen bijvoorbeeld bij sollicitatie gespreken.

Wat dacht je van:
0 - Opslaan als, en op een geisoleerde locatie opslaan (sandbox), vooral als je het niet vertrouwt.
1 - virusscanner extra laten scannen.
2 - Windows sowieso niet de extenties van bestanden laten onderdrukken
3 - een editor (notepad++ oid) om te controleren of het wel een zip, pdf of doc(x) document is.
4 - het bestand NIET openen door er op te dubbel klikken (maar door het vanuit de applicatie te openen).
5 - een backup hebben en terugzetten als het toch fout gaat (vandaar de geisoleerde locatie voor de opslag (sandbox). Minder schade.
03-10-2018, 20:10 door Anoniem
Er wordt vaak gedacht dat het openen van een email bericht al gevaarlijk is (1). Dat is niet zo voor normale MKB bedrijven en personen (2). Je kunt een bericht gerust openen als je voorzorgsmaatregelen neemt. Dat zijn:
1. Stel weergave in de maillezer in als tekst of eenvoudige HTML waarbij geen scripts worden uitgevoerd of externe elementen worden geladen.
2. Zorg dat je PC altijd is voorzien van de laatste beveiligingsupdates van besturingssysteem en programma's.

Bestandsextensie weergave moet je altijd aanzetten op elke PC die je tegenkomt. Vertrouw nooit op iconen. Een executable kan een Word of PDF icoon hebben.

Download of sla een bijlage op een lokale schijf. Open het bestand niet door dubbelklikken. Start bijvoorbeeld de PDF lezer en open van daaruit het PDF bestand (Menu Bestand, Openen..). Hetzelfde voor Word bestanden.

Word en PDF lezers moeten zo worden beveiligd dat macro's en scripts niet worden uitgevoerd. Altijd nee klikken als je een melding krijgt dat er een macro inzit of als er wordt gevraagd om wijzigingen toe te staan.

Als het een ZIP bestand is, pak dan eerst alle bestanden uit op de lokale disk en volg dezelfde procedure.

Zelfs als je helemaal geen virusscanner hebt is dit voldoende veilig voor verreweg de meeste gebruikers. Virusscanners zijn toch vaak veel te laat met updates, vertrouw er nooit op. Als een virusscanner niets vind betekent dat niet dat bestand veilig is. Houdt rekening met de privacy van iemand die een cv stuurt. Stuur die cv nooit op naar een scansite, dat is een ernstige overtreding van de AVG en strafbaar met een boete. Veel van die scansites delen geuploade bestanden met beveiligingsonderzoekers of belangstellenden uit de hele wereld.

Noten:
(1) Dat doet iedereen van minister tot 'beveiligingsspecialisten'. Soms wordt gezegd dat je zo snel mogelijk het bericht moet weggooien. Bijna altijd wordt het bericht als je dat doet geopend in de preview, want je moet zo'n bericht eerst selecteren om vervolgens op de del knop te kunnen drukken. Dat geeft al aan dat dergelijk advies onzinnig is. Gooi het bericht zeker niet weg als je per ongeluk toch de bijlage hebt geopend, een deskundige die er naar kan kijken kan dan niet meer onderzoeken of het schadelijk was.

(2) Praktisch alleen als je een doelwit bent voor geavanceerde hackers (inlichtendiensten, 'top'criminelen met veel geld) is er risico dat er zero days worden gebruikt. Effectieve zero days zijn te kostbaar om door een gewone internetcrimineel te worden gebruikt. Denk daarbij aan banken, juristen (bedrijfsspionage), defensieindustrie, ministeries zoals Defensie, Buitenlandse Zaken en Binnenlandse Zaken.
Soms wordt er wel eens een zero day bekend gemaakt voordat een beveiligingsupdate beschikbaar is. In zo'n geval kun je het betrouwbaar advies volgen en andere maatregelen treffen die misbruik kunnen voorkomen toepassen. Dit is werk voor een systeembeheerder of beveiligingsspecialist.
03-10-2018, 20:50 door Anoniem
Krijg je ervan, van dat achterlijke verplichte solliciteren per week.
Decennia een hele natie wekelijks verplichten je prive gegevens rond te strooien en het collectieve bedrijfsleven opzadelend met onnodige werkdruk.
Leverde het ooi wat op? Nee, ja, sollicitatiebrieven trauma's.
Ik schrijf ze nooit meer, nooit.
En dan, dan staat er ineens iemand op die een vorm vind die wel wat oplevert.
Weer het bedrijfsleven de klos.
Eigenlijk zou men massaal de veroorzakers ervan moeten targeten, bij wijze van les. Maar dat soort instituten leren niet. Nooit omdat het er niet toe doet, het zijn plekken voor geldgraaiende managers die hippen van plek naar plek voor geld.
Kon je dat soort gasten maar zippen, encrypten en dan achter het behang plakken, twee problemen, nee drie problemen in 1 keer opgelost.
03-10-2018, 20:53 door Anoniem
Door Anoniem: Ja als ik zon mooie dame zie zou ik ook willen kijken wie het is en haar uitnodigen voor een gesprek....

and so it begins..

#metoo anybody ?
03-10-2018, 20:56 door Anoniem
Door Anoniem:
Door Anoniem: Iemand een idee hoe je het beste word, zip bestanden, pdf bestanden van een vreemde het beste kan openen?
Als je dit echt noodzakkelijk moet openen bijvoorbeeld bij sollicitatie gespreken.

Wat dacht je van:
0 - Opslaan als, en op een geisoleerde locatie opslaan (sandbox), vooral als je het niet vertrouwt.
1 - virusscanner extra laten scannen.
2 - Windows sowieso niet de extenties van bestanden laten onderdrukken
3 - een editor (notepad++ oid) om te controleren of het wel een zip, pdf of doc(x) document is.
4 - het bestand NIET openen door er op te dubbel klikken (maar door het vanuit de applicatie te openen).
5 - een backup hebben en terugzetten als het toch fout gaat (vandaar de geisoleerde locatie voor de opslag (sandbox). Minder schade.

Dankjewel voor de tips!
03-10-2018, 22:08 door Bitwiper
Door Anoniem:
Door Anoniem: Iemand een idee hoe je het beste word, zip bestanden, pdf bestanden van een vreemde het beste kan openen?
Als je dit echt noodzakkelijk moet openen bijvoorbeeld bij sollicitatie gespreken.

Wat dacht je van:
0 - Opslaan als, en op een geisoleerde locatie opslaan (sandbox), vooral als je het niet vertrouwt.
Even als leek: wat is dat, een "sandbox"? Denk je nou echt dat die enkeling die iets als SandboxIE op z'n computer installeert, niet weet hoe zij/hij met gevaarlijke bestanden moet omgaan?

Door Anoniem: 1 - virusscanner extra laten scannen.
Zinvol als je eerst 3 dagen wacht. Zinloos bij een verse malware.

Uit het bronartikel van RTL Nieuws (https://www.rtlnieuws.nl/tech/artikel/4437971/criminelen-sollicitatie-ransomware-gandcrab):
Door Mark Loman van cybersecuritybedrijf Sophos: GandCrab is momenteel de populairste ransomware en de detectie door virusscanners is relatief laag, omdat het virus elke keer weer op een nieuwe manier wordt verspreid.

Door Anoniem: 2 - Windows sowieso niet de extenties van bestanden laten onderdrukken
Goed idee, maar dat helpt niet tegen macro's in Office bestanden. Als ik me niet vergis worden macro's in Publisher bestanden (*.pub) helemaal niet geblokkeerd (d.w.z. worden -meen ik- zonder waarschuwing uitgevoerd). En denk jij dat de gemiddelde gebruiker weet dat extensies als .mht of .hta (als die zichtbaar zijn gemaakt) net zo "ongevaarlijk" zijn als .exe files?

Door Anoniem: 3 - een editor (notepad++ oid) om te controleren of het wel een zip, pdf of doc(x) document is.
Dan zie je allemaal lachebekjes en andere symbooltjes. Wat zegt een leek dat?

Door Anoniem: 4 - het bestand NIET openen door er op te dubbel klikken (maar door het vanuit de applicatie te openen).
Ik zie geen enkel voordeel.

Door Anoniem: 5 - een backup hebben en terugzetten als het toch fout gaat (vandaar de geisoleerde locatie voor de opslag (sandbox). Minder schade.
Goede tip, maar het risico is dat men de PC niet kan missen en denkt dat je met een virusscanner betrouwbaar alle malware en systeemwijzigingen te kunnen verwijderen (iets wat zelden het geval is in mijn ervaring).

Beter: gebruik een losstaande PC (alleen e-mail, geen koppelingen met andere servers) zonder belangrijke informatie erop voor dit soort doeleinden (die je snel kunt re-imagen).

Nog beter: zorg dat je iemand in huis hebt met verstand van zaken (en zo'n PC) die je naar verdachte documenten laat kijken en die je generieke e-mail inboxes als info@ monitort (en relevant spul doorzet). En zorg dat iedereen weet dat zo iemand in de organisatie beschikbaar is voor twijfelachtige mails in andere inboxes. Of huur zo'n dienst in (overigens weet ik niet of die bestaan).

Tips voor mensen met enig verstand van zaken:
- Als je een beetje handig bent met een hex-viewer (zoals ingebouwd in Total Commander), leer je snel zien met wat voor soort bestand je te maken hebt. Als je in een PDF bestand zoekt naar script en wat vindt, zit het er dik in dat het een kwaadaardig bestand is. Gebruik bijv. SumatraPDF voor het bekijken van PDF bestanden waar je desondanks over twijfelt.

- Als het op een Office 2007 en ouder bestand lijkt, kun je de extensie .zip er achter plakken en het in bijv. 7Zip openen. Een deel van de Office bestanden met malware heeft een .*x (.docx, .xlsx etc.) extensie terwijl het om een formaat voor oudere Office versies gaat (dus .doc, .xls etc). In zo'n geval zal 7Zip aangeven dat het niet om een zip bestand gaat. Als het wel om een ZIP bestand gaat, zijn macro's en dergelijke niet moeilijk te vinden. Onleesbaar gemaakte macro's of scripts (VBscript, JavaScript), ook bekend als obfuscation, zijn een zeer sterke aanwijzing voor malware. Malwarmakers passen deze obfuscatietechnieken toe om viruscanners te dwarsbomen, en vervolgens medewerkers van antivirusboeren langer aan het werk te houden. Voorbeelden te over hiervan zijn te vinden in een deel van de "diaries" (dagboeken) op https://isc.sans.edu (vooral in bijdragen van Xavier Mertens, Brad Duncan en Didier Stevens).

- Didier Stevens heeft een hele reeks handige tools geschreven (en stelt deze gratis beschikbaar, waarvoor dank!) voor het onderzoeken van allerlei bestandsformaten (zie https://blog.didierstevens.com/my-software/, o.a. oledump).

- Als het -naar verluidt- niet om privacygevoelige informatie gaat (iets dat natuurlijk niet geldt voor sollicitatiebrieven en CV's, maar wel voor kennelijke brochures, kleine facturen e.d.) kun je het uploaden naar https://www.virustotal.com/. Mocht het door geen enkele virusscanner als kwaadaardig worden beoordeeld, bestaat toch de kans dat je anderen helpt beschermen - omdat Virustotal twijfelachtige bestanden beschikbaar stelt aan antivirusboeren.
04-10-2018, 11:45 door Anoniem
Gewoon openen op een BlackBerry telefoon.
04-10-2018, 16:14 door Anoniem
Een beetje HR medewerker weet dat je bij een sollicitatie, na de aanhef de brief nooit begint met "Ik". Dat alleen al zou alle alarmbellen af moeten laten gaan. De eerste zin na de aanhef is de moeilijkste van je hele verhaal, omdat je erin aan moet geven waarom je solliciteert.

Is het hier nog handig om de server attachments met zip, rar en tar extensies tegen te houden?
04-10-2018, 18:21 door Anoniem
"Krijg je ervan, van dat achterlijke verplichte solliciteren per week.
Decennia een hele natie wekelijks verplichten je prive gegevens rond te strooien en het collectieve bedrijfsleven opzadelend met onnodige werkdruk."

Dat is niet nodig. Je kunt prima solliciteren zonder direct een CV mee te sturen. Dit doe je pas wanneer het bedrijf aangeeft interesse te hebben in jou als werknemer.
04-10-2018, 23:29 door Anoniem
Eva is meteen aangenomen. We hoeven dr C.V niet eens te lez3n, en ook dr kwaliteiten vinden we niet belangrijk :)))
05-10-2018, 02:21 door Anoniem
Door Anoniem: "Krijg je ervan, van dat achterlijke verplichte solliciteren per week.
Decennia een hele natie wekelijks verplichten je prive gegevens rond te strooien en het collectieve bedrijfsleven opzadelend met onnodige werkdruk."

Dat is niet nodig. Je kunt prima solliciteren zonder direct een CV mee te sturen. Dit doe je pas wanneer het bedrijf aangeeft interesse te hebben in jou als werknemer.

Niet helemaal, een werkloze is verplicht de cv te uploaden op werk.nl.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.