image

Ransomware omzeilt antivirus door pc in veilige modus te starten

dinsdag 10 december 2019, 09:50 door Redactie, 10 reacties

Onderzoekers hebben een ransomware-exemplaar ontdekt dat antivirussoftware probeert te omzeilen door Windowscomputers in de veilige modus te starten. In de veilige modus is de meeste beveiligingssoftware namelijk niet actief, waardoor de ransomware ongehinderd bestanden op de computer kan versleutelen. Snatch, zoals de ransomware door antivirusbedrijf Sophos wordt genoemd, maakt voor zichzelf een service aan die in de veilige modus wordt geladen.

Vervolgens wordt de computer van het slachtoffer in de veilige modus herstart en de ransomware geladen. De criminelen achter de Snatch-ransomware zoeken naar kwetsbare, toegankelijke services. Het gaat dan bijvoorbeeld om systemen die via het Remote Desktopprotocol (RDP), TeamViewer en VNC toegankelijk zijn. Sophos is bekend met een incident waarbij de aanvallers via een bruteforce-aanval het beheerdersaccount van een Microsoft Azure-server wisten te achterhalen. Vervolgens werd er via RDP op de server ingelogd.

Vanaf de Azure-server gebruikten de aanvallers het beheerdersaccount om op een domeincontrollermachine op hetzelfde netwerk in te loggen. Gedurende een aantal weken werd het netwerk van het slachtoffer verkend, waarna geprobeerd werd de ransomware te installeren. Het Amerikaanse securitybedrijf Coveware, dat voor bedrijven met cybercriminelen onderhandelt over het losgeld en ontsleutelen van bestanden, heeft tussen juli en oktober voor twaalf klanten met de criminelen achter de Snatch-ransomware onderhandeld.

Om infecties door de ransomware te voorkomen adviseert Sophos om RDP-toegang niet voor heel het internet toegankelijk te maken. Organisaties die remote toegang willen bieden moeten dit via een VPN doen. Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden. Tevens doen organisaties er verstandig aan om al hun machines te monitoren. De meeste infecties en aanvallen vonden plaats via onbeschermde en niet gemonitorde systemen.

Image

Reacties (10)
10-12-2019, 09:53 door Anoniem
"Safe mode not so safe." Het zou grappig zijn als het niet zo triest was.
10-12-2019, 09:57 door Briolet
In de veilige modus is de meeste beveiligingssoftware namelijk niet actief

Er is blijkbaar niet goed nagedacht bij het kiezen van de naam "veilige modus".
10-12-2019, 12:43 door hw28
Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden.

Maar dat doet elke beheerder toch allang?

Tevens doen organisaties er verstandig aan om al hun machines te monitoren.

Maar dat doen ze toch allang?
10-12-2019, 13:54 door Anoniem
Door herbert28:
Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden.
Maar dat doet elke beheerder toch allang?
Wat, extra ingewikkeld doen om in te loggen? Als je SSO hebt en dat dus maar één keer per dag hoeft te doen, cq je voldoende infrastructuur hebt om het allemaal makkelijker te maken, dan is met de "2FA"-muziek meelopen niet zo'n punt. Als je dat allemaal niet hebt... kan me goed voorstellen dat een hoop beheerders wel betere dingen te doen hebben dan blogjes afstruinen van security-bedrijfjes en dus nog niet eens door hebben dat het hip&happening is. Er zijn "administratoren" die iedere computer van een nieuwe windows van ceedee voorzien, en dus nog niet eens een slipstreamed image klaar hebben staan. Wat eerlijkheidshalve best een werk is om goed te doen, maar als je toch regelmatig moet herinstalleren betaalt het zich redelijk vlot terug. Alleen daar moet je dus wel de kennis&tijd voor hebben, tussen het brandjes blussen door.

Tevens doen organisaties er verstandig aan om al hun machines te monitoren.
Maar dat doen ze toch allang?
Wat, in safe mode?

Maar merk op dat het advies twee keer is "doe extra werk". En jij vindt het volstrekt normaal dat iedereen dat toch wel zal doen. Wat twee keer best raar is, aangezien "automatisering" ons nu juist minder werk op zou moeten leveren. Dan dringt zich toch een donkerbruin vermoeden op dat we iets niet helemaal goed doen.
10-12-2019, 15:04 door Anoniem
Tevens doen organisaties er verstandig aan om al hun machines te monitoren.
Maar dat doen ze toch allang?
Wat, in safe mode?

Nee in safe mode staat de agent waarschijnlijk uit of op inactief, dan heb je als het goed is ook geen netwerk verbinding dus monitoren gaat dan ook niet. Veilige modes had Microsoft beter basis mode kunnen noemen.
10-12-2019, 20:04 door Anoniem
Door Briolet:
In de veilige modus is de meeste beveiligingssoftware namelijk niet actief

Er is blijkbaar niet goed nagedacht bij het kiezen van de naam "veilige modus".
De naam "veilige modus" heeft niets met online veiligheid te maken, maar komt van een veilige video-modus.
In Windows NT heette deze "VGA mode". In Windows '95 heeft men dit veilige modus genoemd.
Noot: er was toen nog niet eens internet explorer, die kwam pas een jaar later met OSR 1.
11-12-2019, 13:01 door Anoniem
Door Anoniem 2019-12-10 15:04:... als het goed is ook geen netwerk verbinding dus monitoren gaat dan ook niet. Veilige modes had Microsoft beter basis mode kunnen noemen ...
Je kunt kiezen tussen "safe mode" met of zonder netwerk. "Safe mode" start met een minimum aan "services" en achtergrond- en autorun- taken.
11-12-2019, 13:26 door Anoniem
... kan me goed voorstellen dat een hoop beheerders wel betere dingen te doen hebben dan blogjes afstruinen van security-bedrijfjes ....
Eigenlijk behoort zulks wel tot de taken van systeembeheer: op de hoogte zijn van actuele ontwikkelingen en (vooral) dreigingen.
Ik kan me wel voorstellen dat het management twee cursussen per jaar duur genoeg vindt en dagelijks blogjes lezen niet als werk ziet.
12-12-2019, 14:13 door Anoniem
Ik vind het wel intrigerend hoe inventief cybercriminelen zijn. Hoe verzin je het? Als ik eerlijk ben moest ik wel even lachen toen ik de kop van dit artikel zag.
16-12-2019, 11:07 door Anoniem
de infectie vindt dus plaats voordat de PC wordt herstart , onthoud dat mensen! je hebt dus een EPP nodig die het herkend VOORDAT de ransomware uberhaupt de kans krijgt te rebooten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.