image

Fox-IT: Tientallen Nederlandse bedrijven getroffen door SamSam ransomware

maandag 3 december 2018, 10:26 door Redactie, 13 reacties

Tientallen Nederlandse bedrijven zijn de afgelopen maanden getroffen door SamSam ransomware. En misschien is dat wel het topje van de ijsberg, zegt IT-beveiligingsbedrijf Fox-IT.

Dat er geen duidelijk beeld is van het aantal SamSam-slachtoffers komt omdat deze ransomware anders werkt dan voorgaande ransomware-aanvallen. “De makers van SamSam wachten en loeren eerst. Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen om zo meer schade aan te richten”, aldus Fox-IT.

Volgens de onderzoekers gaan de makers van SamSam heel geraffineerd te werk. “Ze kijken waar ze zijn binnengekomen en of ze dieper in de systemen kunnen doordringen, om zo meer schade aan te richten. Daarna verwijdert of saboteert SamSam in alle stilte de back-ups en worden de bestanden vergrendeld.” Ook zijn de bedragen die als losgeld worden gevraagd, veel hoger dan bij voorgaande ransomware-varianten, oplopend tot enkele tonnen.

Vorige week werden in de VS nog twee Iraanse verdachten aangeklaagd die mogelijk verantwoordelijk zijn voor het maken en verspreiden van de ransomware. Toen werd geschat dat ongeveer 1 procent van de slachtoffers zich in Nederland zou bevinden.

Een woordvoerder van Fox-IT zei maandag op BNR dat er in Nederland waarschijnlijk 41.000 Windows-servers draaien met het Remote Desktopprotocol (RDP) die mogelijk het doelwit van de criminelen kunnen worden.

Reacties (13)
03-12-2018, 11:18 door Anoniem
Het moderne leven is weliswaar zo ingewikkeld dat het nog nauwelijks is te overzien, maar als iedereen zich in ieder geval aan deze 10 belangrijkste adviezen houdt dan is het internet een stuk veiliger (niet bedoeld als reclame):

https://pc-makkelijk.nl
03-12-2018, 12:48 door Anoniem
Fox-IT marketing...
03-12-2018, 12:58 door karma4 - Bijgewerkt: 03-12-2018, 12:58
https://access.redhat.com/solutions/2205341
"Is my JBoss / EAP Server Vulnerable to Samas Ransomware?"
03-12-2018, 13:16 door Anoniem
Je moet ervoor zorgen dat RDP alleen in het lokale netwerk gebruikt kan worden. Verder moet je de poortnummer van de RDP connectie veranderen dan de standaard instellingen en bruteforce aanvallen stoppen en zo zijn er nog een aantal oplossingen die je op basis niveau zou mogen verwachten.
03-12-2018, 13:55 door Anoniem
Door karma4: https://access.redhat.com/solutions/2205341
"Is my JBoss / EAP Server Vulnerable to Samas Ransomware?"


Updated June 27 2017 at 11:55 AM
Dus het antwoord moet zijn "Nee, mits je het verdiend om geinfecteerd te raken door wanbeleid."
03-12-2018, 13:57 door Anoniem
Door Anoniem: Je moet ervoor zorgen dat RDP alleen in het lokale netwerk gebruikt kan worden. Verder moet je de poortnummer van de RDP connectie veranderen dan de standaard instellingen en bruteforce aanvallen stoppen en zo zijn er nog een aantal oplossingen die je op basis niveau zou mogen verwachten.

Schijnveiligheid!

Richt je services goed af.
03-12-2018, 14:06 door Anoniem
Door Anoniem:
Door Anoniem: Je moet ervoor zorgen dat RDP alleen in het lokale netwerk gebruikt kan worden. Verder moet je de poortnummer van de RDP connectie veranderen dan de standaard instellingen en bruteforce aanvallen stoppen en zo zijn er nog een aantal oplossingen die je op basis niveau zou mogen verwachten.

Schijnveiligheid!

Richt je services goed af.

Hoe zou je dat volgens jou moeten doen dan?
03-12-2018, 14:45 door Anoniem
Door Anoniem: Fox-IT marketing...
En wat is daar verkeerd aan?

NEXT.
03-12-2018, 16:06 door Anoniem
Door Anoniem:


Hoe zou je dat volgens jou moeten doen dan?
Ga over op Windows 10 Home ;) want die supports geen RDP.
03-12-2018, 17:43 door karma4
Door Anoniem: ...
Updated June 27 2017 at 11:55 AM
Dus het antwoord moet zijn "Nee, mits je het verdiend om geinfecteerd te raken door wanbeleid."
Lees de artikelen er omheen. Elk genoemd gat is iets van bekende vulnerabilities. Wat is:
- het updatebeleid en de realisatie
- Hoe zijn admin rechten afgescheiden ... least privilege
-hoe zijn de servicetaken met geminimaliseerde rechten neergezet.

Het is het standaardverhaal het moet goedkoop en snel werken en als een dienstverlener wat neerzet zal die wel de risico's weten. Vooral geen eigen verantwoordelijkheid nemen.

Met die zwart wit houding eigen schuld weet ik geen voorbeeld waar er niets aan de hand zou zijn. Iedereen is bezig met wanbeheer en wanbeleid. Nu nog graag het verbeterplan.
04-12-2018, 07:28 door Anoniem
Door Anoniem: Je moet ervoor zorgen dat RDP alleen in het lokale netwerk gebruikt kan worden. Verder moet je de poortnummer van de RDP connectie veranderen dan de standaard instellingen en bruteforce aanvallen stoppen en zo zijn er nog een aantal oplossingen die je op basis niveau zou mogen verwachten.

Als er firewall tussen de up to date Windows Server 2012r2 met rdp en het internet geconfigureerd is die poort 389 blokkeert dan voorkom je toch al dat probleem van samsam ransomware?
04-12-2018, 10:50 door Anoniem
Door Anoniem:Als er firewall tussen de up to date Windows Server 2012r2 met rdp en het internet geconfigureerd is die poort 389 blokkeert dan voorkom je toch al dat probleem van samsam ransomware?

Als je poort 3389 blokkeert hou je de RDP manier van aanvallen tegen. De groep gebruikt eigenlijk elke kwetsbaarheid die ze kunnen vinden om binnen te komen. Vaak ook FTP verbindingen, oude jBoss installaties, oude JAVA versies, etc, etc, etc. Eenmaal binnen wordt de malware gedownload en uitgevoerd.
04-12-2018, 17:04 door Anoniem
Bij RDP zou ik minimaal NLA toepassen en zeker niet toegankelijk vanaf internet.
Patch je systemen en applicaties, dit gebeurt veelal te weinig.
En Monitor ook zeker je uitgaande netwerkverkeer, dan weet je in ieder geval als er iemand is binnen gedrongen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.