image

"Ransomwarecriminelen blijven na encryptie op netwerk van slachtoffer actief"

maandag 22 juni 2020, 14:43 door Redactie, 5 reacties

Criminelen die organisaties met ransomware infecteren blijven na het versleutelen van systemen op de netwerken van hun slachtoffers actief en lezen mee met de berichten die worden ontvangen en verstuurd. Iets wat gevolgen heeft voor de manier waarop getroffen bedrijven met de infectie en het herstel moeten omgaan. Dat laat John Fokker, hoofd cyberonderzoek en principal engineer bij antivirusbedrijf McAfee tegenover Bleeping Computer weten.

"We zijn bekend met verschillende gevallen waarbij de ransomwarecriminelen op het netwerk van een slachtoffer actief bleven nadat ze hun ransomware hadden uitgerold. In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker.

Onlangs werd de Amerikaanse vliegtuigreparateur VT San Antonio Aerospace door de Maze-ransomware getroffen. De aanvallers maakten verschillende documenten openbaar die ze bij het bedrijf hadden buitgemaakt, om het zo te dwingen het gevraagde losgeld te betalen. Eén van documenten die de aanvallers publiceerden ging over de betreffende ransomware-aanval, wat liet zien dat de aanvallers nog steeds toegang hadden op het moment dat VT San Antonio Aerospace het incident onderzocht.

Volgens Vitali Kremez van securitybedrijf Advanced Intel is het belangrijk dat incident response teams ervan uitgaan dat de aanvaller nog steeds op het netwerk aanwezig is, totdat het tegendeel is bewezen. Communicatie over de herstelwerkzaamheden moet daarom plaatsvinden via een kanaal dat niet zichtbaar voor de aanvaller is. Daarnaast is het mogelijk niet genoeg om systemen opnieuw te installeren, aangezien de mogelijkheid bestaat dat aanvallers de inloggegevens hebben gestolen. De domeinwachtwoorden moeten dan ook worden aangepast, aldus Kremez.

Reacties (5)
22-06-2020, 15:20 door Anoniem
Volgens mij is dit ook iets dat veel mensen onder artikelen hier opgemerkt hebben. Echter lijkt de logica van gecompromiteerde omgeving = gecompromiteerde omgeving niet altijd even helder buiten security.nl. Overigens blijkt ook hier weer dat tape-back-ups nog altijd een meerwaarde bieden. Die kan je strikt genomen wel encrypten op het moment dat ze uitgelezen worden, maar dat is toch lastiger dan bij harde schijven en bovendien heb je doorgaans meerdere tapes van verschillende recente momenten.
22-06-2020, 15:49 door souplost
Dat wisten we al lang. Elke gehackte server zal je opnieuw moeten opbouwen. Ben benieuwd wanneer ze in Maastricht weer toeslaan.
22-06-2020, 17:07 door [Account Verwijderd]
In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker.
Hoe zou het toch komen dat mijn mail door geen enkele aanvaller kan worden gelezen. Hint: gebruik PGP.
22-06-2020, 18:18 door Anoniem
Door Advanced Encryption Standard:
In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker.
Hoe zou het toch komen dat mijn mail door geen enkele aanvaller kan worden gelezen. Hint: gebruik PGP.

Bij dit soort aanvallen worden de identiteiten van de slachtoffers gestolen.
De aanvaller heeft de identiteit en daarmee de rechten van de slachtoffers.
Dan helpt geen enkele encryptie meer.
23-06-2020, 20:10 door Anoniem
Door Advanced Encryption Standard:
In deze gevallen versleutelden de aanvallers de back-ups van slachtoffers na de initiële aanval of tijdens onderhandelingen, wat duidelijk maakte dat de aanvallers nog steeds toegang hadden en de e-mail van het slachtoffer lazen", aldus Fokker.
Hoe zou het toch komen dat mijn mail door geen enkele aanvaller kan worden gelezen. Hint: gebruik PGP.

Ik zie niet in wat PGP als anti ransomware maatregel kan hebben; tenzij ver gezocht de mail via een MITM onderschept wordt en daaruit iets mee wordt gedaan. Er zijn (veel) makkelijkere manieren voor....

Eminus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.