Organisaties die gebruikmaken van systeembeheerservers om computers te beheren en software uit te rollen moeten deze machines goed beschermen, anders lopen ze risico om slachtoffer van een ransomware-aanval te worden. Zo laat Microsoft weten, dat organisaties via Twitter op de Java-gebaseerde ransomware PonyFinal wijst. Aanvallers achter deze ransomware maken gebruik van bruteforce-aanvallen op systeembeheerservers om binnen te komen. Hoewel Java-gebaseerde ransomware niet zoveel voorkomt als andere bestandstypes, is het volgens het techbedrijf belangrijker voor organisaties om naar de gebruikte aanvalsmethode te kijken.
PonyFinal is één van de ransomware-exemplaren die bij zogeheten "human operated" aanvallen wordt ingezet. Bij dergelijke aanvallen gaan aanvallers gericht te werk en voeren zelf een groot deel van de vereiste stappen uit. Aanvallers kunnen zo veel nauwkeuriger het netwerk van een organisatie in kaart brengen en meer systemen versleutelen. De schade van deze aanvallen is dan ook veel groter dan van volautomatische aanvallen.
De aanvallers achter de PonyFinal-ransomware richten zich specifiek op de servers waarmee organisaties hun it-omgeving (laten) beheren. Via bruteforce-aanvallen wordt geprobeerd om toegang te krijgen. Zodra dit de aanvallers is gelukt stelen ze eerst allerlei data van systemen en installeren vervolgens de ransomware.
PonyFinal is Java-gebaseerd, wat inhoudt dat Java op de te versleutelen systemen aanwezig moet zijn. Microsoft is bekend met verschillende gevallen waarbij de aanvallers eerst Java op de aangevallen systemen installeerden voordat de ransomware werd uitgerold. In de meeste gevallen maken de aanvallers gebruik van informatie van de systeembeheerserver om alleen computers aan te vallen waarvan ze weten dat Java al aanwezig is.
Het techbedrijf stelt verder dat de aanvallers op het juiste moment wachten om hun ransomware uit te rollen. Vaak is dit in het weekend of op feestdagen, wanneer it-personeel niet aanwezig is. Om aanvallen door de groep te voorkomen krijgen organisaties onder andere het advies om multifactorauthenticatie toe te passen.
Deze posting is gelocked. Reageren is niet meer mogelijk.