image

Ransomware schakelt software managed serviceproviders uit

dinsdag 11 februari 2020, 15:11 door Redactie, 8 reacties
Laatst bijgewerkt: 11-02-2020, 16:03

Onderzoekers hebben een variant van de Ragnarok-ransomware ontdekt die voor het versleutelen van bestanden op computers eerst de software van managed serviceproviders uitschakelt. Het gaat dan om programma's zoals Kaseya, Veeam, ConnectWise, Pulseway en Splashtop.

Managed serviceproviders gebruiken deze software voor het op afstand beheren van de systemen van hun klanten. Zodra de Ragnarok-ransomware, ook wel Ragnar Locker genoemd, deze programma's ontdekt worden die eerst uitgeschakeld, waarna het versleutelen van de bestanden begint, zo meldt securitybedrijf Huntress. Mogelijk dat de aanvallers deze software uitschakelen om de managed serviceprovider niet te laten merken dat de systemen van klanten worden versleuteld.

Eind januari werd bekend dat de Ragnarok-ransomware onder andere via een beveiligingslek in Citrix werd verspreid. Voor het ontsleutelen van bestanden vraagt Ragnarok 8.000 euro voor één computer en 40.000 euro voor alle machines. In een filmpje dat Huntress van de ransomware maakte wordt echter 60 bitcoin gevraagd, wat zo'n 545.000 euro is. De aanvallers laten in de instructies aan het slachtoffer verder weten dat gevoelige gegevens zijn gestolen en openbaar zullen worden gemaakt als er niet wordt betaald. Onlangs liet beveiligingsonderzoeker Vitali Kremez weten dat Ragnarok zichzelf uitschakelt wanneer op het systeem de taalinstelling van bepaalde voormalige Sovjet-landen wordt aangetroffen.

De afgelopen maanden zijn honderden bedrijven besmet geraakt door ransomware omdat aanvallers hun managed serviceprovider wisten te compromitteren. De aanvallers wisten binnen te dringen bij de it-dienstverlener en daarvandaan de klanten van deze providers aan te vallen. Onder andere honderden Amerikaanse tandartspraktijken raakten zo besmet.

Image

Image

Reacties (8)
11-02-2020, 15:36 door Erik van Straten
@Redactie, dit mag m.i. wel wat duidelijker vermeld worden:
Tevens dreigt de ransomware met het openbaar maken van bestanden als er niet wordt betaald.

Uit https://www.bleepingcomputer.com/news/security/ragnar-locker-ransomware-targets-msp-enterprise-support-tools/:
According to the attackers, one of these pre-deployment tasks is to first steal a victim's files and upload it to their servers. They then tell the victim that they will release the files publicly if a ransom is not paid.
11-02-2020, 20:23 door souplost
Het begint er steeds meer op te lijken dat elk Windows bedrijf de klos is en geen enkel linux.
12-02-2020, 00:55 door Anoniem
Lees over de hopeloosheid van drie- en vierletter diensten om een einde te maken aan ransomware criminaliteit:
https://www.pcmag.com/opinions/why-cant-the-cia-eradicate-ransomware

Iemand een idee wat wel zou kunnen werken? Zo veel surveillance en toch zo weinig pakkans.
Of speelt er iets anders?

luntrus
12-02-2020, 08:42 door Anoniem
Door souplost: Het begint er steeds meer op te lijken dat elk Windows bedrijf de klos is en geen enkel linux.

wellicht omdat >80% van de bedrijven windows gebruikt.
12-02-2020, 08:50 door karma4
Door souplost: Het begint er steeds meer op te lijken dat elk Windows bedrijf de klos is en geen enkel linux.
Managed service providers heeft weinig met een OS van doen. Ik zie dat het gratis en voor niets model faalt.
Pulse secure en Citrix (bsd) toch wel degelijk een andere OS. IOT notoir lek een ander OS. OS flaming een oorzaak dat er weinig verbeterd de bashers zijn daartoe niet in staat mar stichten wel verwarring.
12-02-2020, 11:16 door Anoniem
Door karma4:
Door souplost: Het begint er steeds meer op te lijken dat elk Windows bedrijf de klos is en geen enkel linux.
Managed service providers heeft weinig met een OS van doen. Ik zie dat het gratis en voor niets model faalt.
Pulse secure en Citrix (bsd) toch wel degelijk een andere OS. IOT notoir lek een ander OS. OS flaming een oorzaak dat er weinig verbeterd de bashers zijn daartoe niet in staat mar stichten wel verwarring.
Ach en aan RDS mankeert niets? Net zo lek als Citrix toch? Hadden we geen geldautomaten op Windows die zo lek waren als een mandje? Laten we wel zijn, elk OS, het maakt niet uit welke, op termijn hebben ze allen last van een security probleem.
12-02-2020, 12:51 door souplost
Door karma4:
Door souplost: Het begint er steeds meer op te lijken dat elk Windows bedrijf de klos is en geen enkel linux.
Managed service providers heeft weinig met een OS van doen. Ik zie dat het gratis en voor niets model faalt.
Pulse secure en Citrix (bsd) toch wel degelijk een andere OS. IOT notoir lek een ander OS. OS flaming een oorzaak dat er weinig verbeterd de bashers zijn daartoe niet in staat mar stichten wel verwarring.
Je zet jezelf weer voor joker met je OS ontkenning om vervolgens bsd op een zeer doorzichtige manier er bij te halen. Blijf eens bij de feiten en verzin ze niet zelf. Je bent aan het trollen en nog op een domme manier ook.
14-02-2020, 08:18 door Anoniem
Door souplost:Je zet jezelf weer voor joker met je OS ontkenning om vervolgens bsd op een zeer doorzichtige manier er bij te halen. Blijf eens bij de feiten en verzin ze niet zelf. Je bent aan het trollen en nog op een domme manier ook.

Nee jij zet jezelf weer eens voor joker met je zoveelste 'kijk eens hoeveel beter linux is' reactie. Als het je doel is om de wereld over te halen linux te gaan gebruiken vind ik dat je goed recht. Maar waarom doe je dat op een security website? Ik zou zeggen begin ergens op een systeembeheer website of een management website. Hoe hard wij als security professionals ook roepen wij lossen het niet op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.