image

Microsoft wijst organisaties op ransomware die via bruteforce-aanvallen binnenkomt

donderdag 28 mei 2020, 09:35 door Redactie, 8 reacties

Organisaties die gebruikmaken van systeembeheerservers om computers te beheren en software uit te rollen moeten deze machines goed beschermen, anders lopen ze risico om slachtoffer van een ransomware-aanval te worden. Zo laat Microsoft weten, dat organisaties via Twitter op de Java-gebaseerde ransomware PonyFinal wijst. Aanvallers achter deze ransomware maken gebruik van bruteforce-aanvallen op systeembeheerservers om binnen te komen. Hoewel Java-gebaseerde ransomware niet zoveel voorkomt als andere bestandstypes, is het volgens het techbedrijf belangrijker voor organisaties om naar de gebruikte aanvalsmethode te kijken.

PonyFinal is één van de ransomware-exemplaren die bij zogeheten "human operated" aanvallen wordt ingezet. Bij dergelijke aanvallen gaan aanvallers gericht te werk en voeren zelf een groot deel van de vereiste stappen uit. Aanvallers kunnen zo veel nauwkeuriger het netwerk van een organisatie in kaart brengen en meer systemen versleutelen. De schade van deze aanvallen is dan ook veel groter dan van volautomatische aanvallen.

De aanvallers achter de PonyFinal-ransomware richten zich specifiek op de servers waarmee organisaties hun it-omgeving (laten) beheren. Via bruteforce-aanvallen wordt geprobeerd om toegang te krijgen. Zodra dit de aanvallers is gelukt stelen ze eerst allerlei data van systemen en installeren vervolgens de ransomware.

PonyFinal is Java-gebaseerd, wat inhoudt dat Java op de te versleutelen systemen aanwezig moet zijn. Microsoft is bekend met verschillende gevallen waarbij de aanvallers eerst Java op de aangevallen systemen installeerden voordat de ransomware werd uitgerold. In de meeste gevallen maken de aanvallers gebruik van informatie van de systeembeheerserver om alleen computers aan te vallen waarvan ze weten dat Java al aanwezig is.

Het techbedrijf stelt verder dat de aanvallers op het juiste moment wachten om hun ransomware uit te rollen. Vaak is dit in het weekend of op feestdagen, wanneer it-personeel niet aanwezig is. Om aanvallen door de groep te voorkomen krijgen organisaties onder andere het advies om multifactorauthenticatie toe te passen.

Image

Reacties (8)
28-05-2020, 10:19 door souplost
Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
28-05-2020, 10:59 door Anoniem
Door souplost: Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Dat soort mogelijkheden zit er standaard in, maar je moet bedenken dat dit een mogelijkheid tot DoS betekent, zeker
als dit de default zou zijn. Dan zie je straks een voortdurende stroom van inlogpogingen op Administrator met als
gevolg dat die overal gelocked wordt. En dan krijg je weer die ridicule adviezen zoals "je moet een andere naam voor
je beheer account gebruiken".

Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
Omdat multifactorauthenticatie meer vereist dan een lokaal systeem. Je kunt dit niet "default aanzetten" omdat er geen
default settings zijn, je zult een 2e factor moeten configureren en uitrollen voor je dit in gebruik kunt nemen.
28-05-2020, 11:09 door karma4 - Bijgewerkt: 28-05-2020, 11:11
Door souplost: Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
Het is toch wat linux fanataci die zelf het eigen beheer niet op orde hebben en enkel kunnen wijzen naar een onder OS waar ze het beheer niet van doen.
Nog kwalijker: de informatieveiligheid negeren want met set up enter enter hoef je er zelf niet meer naar te kijken.

De adviezen hierboven zijn gericht aan beheerders management in organisatie. Dat eigen beheer blijft een eigen verantwoordelijkheid.
28-05-2020, 14:31 door souplost
Door Anoniem:
Door souplost: Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Dat soort mogelijkheden zit er standaard in, maar je moet bedenken dat dit een mogelijkheid tot DoS betekent, zeker
als dit de default zou zijn. Dan zie je straks een voortdurende stroom van inlogpogingen op Administrator met als
gevolg dat die overal gelocked wordt. En dan krijg je weer die ridicule adviezen zoals "je moet een andere naam voor
je beheer account gebruiken".
Het zit er volgens jou dus niet in. Ik zeg namelijk niet dat je het account moet locken maar dat je via de firewall het src IP adres moet bannen voor een bepaalde periode zodat brute force aantal pogingen laag blijft.


Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
Omdat multifactorauthenticatie meer vereist dan een lokaal systeem. Je kunt dit niet "default aanzetten" omdat er geen
default settings zijn, je zult een 2e factor moeten configureren en uitrollen voor je dit in gebruik kunt nemen.
Natuurlijk kan dat wel. Naam wachtwoord via console en geen toegang via het netwerk zonder 2FA
28-05-2020, 14:50 door souplost
Door karma4:
Door souplost: Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
Het is toch wat linux fanataci die zelf het eigen beheer niet op orde hebben en enkel kunnen wijzen naar een onder OS waar ze het beheer niet van doen.
Nog kwalijker: de informatieveiligheid negeren want met set up enter enter hoef je er zelf niet meer naar te kijken.

De adviezen hierboven zijn gericht aan beheerders management in organisatie. Dat eigen beheer blijft een eigen verantwoordelijkheid.
Ik stel een serieuze verbetering voor aan security beheermanagement om je simpel tegen BFA van o.a. accounts te bewapenen. Dat doet karma4 onmiddellijk in de bres springen om vervolgens uit zijn heup te krijsen over linux fanataci die zelf het eigen beheer niet op orde hebben en informatieveiligheid negeren. Vreemd voor iemand ook die zegt niets met Microsoft te hebben maar wel met security. Droevig niveau weer.
Misschien kan de redactie zijn getroll eens verwijderen ipv deze reactie?
28-05-2020, 14:57 door Anoniem
Door souplost: Het is toch wat met dat windows.
Dat zit alleen tussen JOUW oren.
Bakken met tijd zijn ze kwijt aan die walware.
Gewoon goed inrichten?
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Account Lock instellen? Zit standaard in Windows.....

Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
Welke multifactorauthenticatie, hoe kun je dit default inrichten, als er nog niets is. Dus welke default? Er is geen default. Hoe wil je iets default doen, als er geen Internet toegang is. Of geen telefoon voor je beheerders?

Weer een hoop bla bla, maar je laat weer zien, dat je geen kennis hiervan hebt.

Door souplost:
Door Anoniem:
Door souplost: Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Dat soort mogelijkheden zit er standaard in, maar je moet bedenken dat dit een mogelijkheid tot DoS betekent, zeker
als dit de default zou zijn. Dan zie je straks een voortdurende stroom van inlogpogingen op Administrator met als
gevolg dat die overal gelocked wordt. En dan krijg je weer die ridicule adviezen zoals "je moet een andere naam voor
je beheer account gebruiken".
Het zit er volgens jou dus niet in. Ik zeg namelijk niet dat je het account moet locken maar dat je via de firewall het src IP adres moet bannen voor een bepaalde periode zodat brute force aantal pogingen laag blijft.
En dan gebruikt de.hacker een volgend IP om het Account aan te vallen. Combinatie van beide is veel beter. Maar een Account block is meestal beter dan alleen een IP block in te richten.

Natuurlijk kan dat wel. Naam wachtwoord via console en geen toegang via het netwerk zonder 2FA
Iedere machine doet authenticatie over het netwerk. Dat is eigenlijk de basis van een server of werkstation richting een authenticatie server.
28-05-2020, 15:29 door souplost
Door Anoniem:
Door souplost: Het is toch wat met dat windows.
Dat zit alleen tussen JOUW oren.
Bakken met tijd zijn ze kwijt aan die walware.
Gewoon goed inrichten?
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Account Lock instellen? Zit standaard in Windows.....

Ze komen niet verder dan een advies om multifactorauthenticatie in te stellen, maar waarom is dat eigenlijk geen defaultinstelling op beheersystemen?
Welke multifactorauthenticatie, hoe kun je dit default inrichten, als er nog niets is. Dus welke default? Er is geen default. Hoe wil je iets default doen, als er geen Internet toegang is. Of geen telefoon voor je beheerders?

Weer een hoop bla bla, maar je laat weer zien, dat je geen kennis hiervan hebt.

Door souplost:
Door Anoniem:
Door souplost: Het is toch wat met dat windows. Bakken met tijd zijn ze kwijt aan die walware.
Waarom maakt Microsoft geen software die na 5 (default) inlogpogingen het IP een ban geeft voor 10 min (default) door de windows defender firewall dynamisch aan te passen.
Dat soort mogelijkheden zit er standaard in, maar je moet bedenken dat dit een mogelijkheid tot DoS betekent, zeker
als dit de default zou zijn. Dan zie je straks een voortdurende stroom van inlogpogingen op Administrator met als
gevolg dat die overal gelocked wordt. En dan krijg je weer die ridicule adviezen zoals "je moet een andere naam voor
je beheer account gebruiken".
Het zit er volgens jou dus niet in. Ik zeg namelijk niet dat je het account moet locken maar dat je via de firewall het src IP adres moet bannen voor een bepaalde periode zodat brute force aantal pogingen laag blijft.
En dan gebruikt de.hacker een volgend IP om het Account aan te vallen. Combinatie van beide is veel beter. Maar een Account block is meestal beter dan alleen een IP block in te richten.

Natuurlijk kan dat wel. Naam wachtwoord via console en geen toegang via het netwerk zonder 2FA
Iedere machine doet authenticatie over het netwerk. Dat is eigenlijk de basis van een server of werkstation richting een authenticatie server.
Hier spreekt duidelijk een man van het windows oligopolie; "Gewoon goed inrichten" Gepraat over malware zit tussen de oren. Laat dat gewoon goed maar weg want dat blijkt niet zo makkelijk getuige ook natuurlijk het Microsoft alarm.
Wat ik aandroeg zit niet in windows en is geen account lock!
Als er iets met een endpoint is moet je het endpoint aanpakken en niet het target van het endpoint. Zal wel typische Microsoft logica zijn omdat jij ook direct over het locken van een account begint. Ja dat week ik dat zit er al jaren in zodat de echte beheerder er niet meer bij kan. Als de attacker overspringt naar een ander IP moet je ook die een tijdje bannen. Ook logisch.

Naam wachtwoord via console en geen toegang via het netwerk zonder 2FA dat is het begin dat snap jij toch ook wel?
Je kan ook eenvoudig een SSH key met passphrase gebruiken (is ook 2FA) voor een initiële uitrol.
28-05-2020, 15:57 door karma4
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.