image

FBI: vierhonderd organisaties door Conti-ransomware aangevallen

zaterdag 22 mei 2021, 16:09 door Redactie, 18 reacties

De groep criminelen achter de Conti-ransomware heeft wereldwijd meer dan vierhonderd organisaties aangevallen, waarvan zich er 290 in de Verenigde Staten bevinden, zo stelt de FBI. Het gaat onder andere om zorginstellingen, gemeenschappen en politiediensten. De Ierse nationale gezondheidszorg HSE werd onlangs nog slachtoffer van de Conti-ransomware, wat gevolgen had voor de dienstverlening aan patiënten. Voor het ontsleutelen van bestanden eist de groep bedragen tot wel 25 miljoen euro.

Om toegang tot de netwerken van hun slachtoffers maakt de Conti-groep gebruik van algemeen bekende methodes zoals links in e-mailberichten die naar malware wijzen, besmette e-mailbijlagen en gestolen RDP-inloggegevens. De aanvallers zijn gemiddeld tussen de vier dagen en drie weken in het netwerk actief voordat ze de ransomware uitrollen. Wanneer de aangevallen organisatie twee tot acht dagen na de uitrol van de ransomware niet op de eisen van de groep heeft gereageerd komt het vaak voor dat de aanvallers het slachtoffer opbellen, aldus de FBI in een waarschuwing (pdf).

De opsporingsdienst vraagt slachtoffers om wanneer mogelijk informatie over de groep te delen, zoals gebruikte bitcoin-adressen, de geleverde decryptietool en ip-adressen. Tevens doet de FBI aanbevelingen om dergelijke aanvallen te voorkomen. Zo wordt aangeraden om hyperlinks in inkomende e-mail uit te schakelen en om e-mails die van buiten de organisatie afkomstig zijn van een banner te voorzien. Verder krijgen organisaties het advies om zich op cybersecurity awareness en training van het personeel te richten.

Image

Reacties (18)
22-05-2021, 18:24 door Anoniem
er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html
22-05-2021, 23:09 door Anoniem
@anoniem van 18:24 heden,

Het patroon is wel degelijk zichtbaar, maar de oplossing schijnt daarnaast nog ver weg.
Hoe lang zal het nog duren eer men wel degelijk de kat de bel aan zal binden?

Mono-cultuur oplossingen. Zelf NT4 + de kernel gedaan tussen allemaal linux mannetjes,
toen dit product overal in ziekenhuizen en de transportwereld moest worden uitgerold.
Toen al opmerkingen gekregen van: "Kijk, dit is niet eens te zien in de Microsoft Viewer".

Het duurt voor slechte zaken soms heel lang eer ze voorbijgaan.

luntrus
23-05-2021, 08:41 door Anoniem
Hou toch is op om bij ieder bericht over ransomware of een hack, te roepen dat Windows zo slechts is. MS heeft simpelweg een groot marktaandeel en moet dus out of the box door iedere nitwit kunnen worden geïnstalleerd en nog redelijk werken ook. Standaard installatie is een Fiat Punto, goede auto maar je moet hem wel door een expert laten tunen voordat het een Ferrari wordt. Het probleem is dat bedrijven vaak maar blijven denken dat hun vers uit de schoolbanken komende puistige collega een ‘senior systeembeheerder’ is en dat we veder geen geld willen stoppen in alle overige zaken. Beheer, hardening, EDR, 2FA, IDS, SIEM, et cetera vinden we allemaal maar onzin. Functionaliteit missen omdat die niet veilig zou zijn, doen we ook niet. Liefst knopen we alles aan elkaar, stoppen het in de cloud en moeten op afstand werken. Noem mij een enkel bedrijf die poort 53, 80, of 443 standaard uit heeft staan om malware zoals Conti te voorkomen :-) Is dat bij jou wel zo dan?
23-05-2021, 09:51 door Anoniem
Door Anoniem: Hou toch is op om bij ieder bericht over ransomware of een hack, te roepen dat Windows zo slechts is. MS heeft simpelweg een groot marktaandeel en moet dus out of the box door iedere nitwit kunnen worden geïnstalleerd en nog redelijk werken ook. Standaard installatie is een Fiat Punto, goede auto maar je moet hem wel door een expert laten tunen voordat het een Ferrari wordt. Het probleem is dat bedrijven vaak maar blijven denken dat hun vers uit de schoolbanken komende puistige collega een ‘senior systeembeheerder’ is en dat we veder geen geld willen stoppen in alle overige zaken. Beheer, hardening, EDR, 2FA, IDS, SIEM, et cetera vinden we allemaal maar onzin. Functionaliteit missen omdat die niet veilig zou zijn, doen we ook niet. Liefst knopen we alles aan elkaar, stoppen het in de cloud en moeten op afstand werken. Noem mij een enkel bedrijf die poort 53, 80, of 443 standaard uit heeft staan om malware zoals Conti te voorkomen :-) Is dat bij jou wel zo dan?

ja hier is dat argument weer 'er is meer windows dus daarom zie je meer malware daar'.

maar om eerlijk te zijn, ik begin dat argument steeds minder te geloven. het is namelijk niet zo dat op servers en in de cloud etc. dat het meerendeel windows is en er zijn hele grote groepen die hele dikke vette targets zouden moeten zijn die geen windows gebruiken en ook geen ransomware attacks lijken hebben.

kijk, ik sta hier vrij neutraal in, maar de huidige statistieken kun je dus wegwuiven zoals je nu doet, maar je kunt je ook eens gaan afvragen of er toch niet een dieper liggend zenuwtje bloot komt.

het probleem met je argument is namelijk dat er dus ook wellicht een andere verklaring mogelijk is voor de statistieken die we hier aanzien en dus logisch gezien, zonder verder onderzoek, is je argument niet als de enige waarheid aan te nemen.

wellicht zou iemand op security.nl eens een 'overzichtje' kunnen maken van alle ransomware 'incidenten' de afgelopen 5 jaar? gewoon als eerste stap om dat eens een beetje uit te zoeken.... lekker hip, een big data probleempje zeg maar...

ps ik wil dus geen "linux is awesome sterf MS" reacties, of van die los geslagen incoherente rants van ene karma oid. ik wil dat vele gebruikte wegwuif argument eens ter discussie stellen.
23-05-2021, 14:54 door Anoniem
Door Anoniem: er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html

En wat zegt dit over jouw patroon?
https://www.security.nl/search?origin=frontpage&keywords=qnap

Ransomware op QNAP, is die ook op Windows gebaseerd?
Check al die artikelen eens over een "niet-Windows systeem".
23-05-2021, 18:26 door Anoniem
Door Anoniem:
Door Anoniem: er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html

En wat zegt dit over jouw patroon?
https://www.security.nl/search?origin=frontpage&keywords=qnap

Ransomware op QNAP, is die ook op Windows gebaseerd?
Check al die artikelen eens over een "niet-Windows systeem".

zou een malware analyse van kaspersky toch wat meer inhoud hebben dan een voorbeeld dat je nu aandraagt?

maargoed, het is een mooi voorbeeld ja, mijn suggestie zou nu zijn eens alle voorbeeldjes van de afgelopen 5j eens tezamen te brengen [en ja daarbij is qnap dus duidelijk troep-ware : "De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen."]

heeft kasperky dan gelijk volgens dat overzicht?
23-05-2021, 19:29 door Anoniem
Door Anoniem:
Door Anoniem: er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html

En wat zegt dit over jouw patroon?
https://www.security.nl/search?origin=frontpage&keywords=qnap

Ransomware op QNAP, is die ook op Windows gebaseerd?
Check al die artikelen eens over een "niet-Windows systeem".

daar staat ook wel weer tegenover: https://www.security.nl/search?origin=frontpage&keywords=ransom


point is dat er eens een gedegen statistisch onderzoekje zou moeten plaats vinden voordat we allemaal maar wat gillen.

in de 'security' wereld lijkt het zo dat er vrij vlot de vinger gewezen wordt naar 'de domme gebruikers' en hun wachtwoorden enzo, en dat je ze moet leren / trainen etc. etc. en dat iedereen maar heel snel aan de MFA moet, maar fatsoelijke onderbouwingen voor deze dingen heb ik nog niet eerder gezien.

net zo min voor het argument 'er zijn gewoon meer windows systemen dus daarom meer malware'.
24-05-2021, 08:36 door [Account Verwijderd] - Bijgewerkt: 24-05-2021, 08:40
Door Anoniem: ...

ps ik wil dus geen "linux is awesome sterf MS" reacties, of van die los geslagen incoherente rants van ene karma oid. ik wil dat vele gebruikte wegwuif argument eens ter discussie stellen.

Het is alleen geen wegwuifargument! Software van slechte kwaliteit biedt veel meer mogelijkheden voor hacks.

The result of this mentality was, to put it bluntly, a lot of hacks. Windows and Office are full of massive kludges and poorly architected code. Also, because the original codebase was largely built in the 1980s and 90s, it didn’t follow modern software engineering standards like unit tests because such things weren’t in widespread use.

https://www.quora.com/Why-can%E2%80%99t-Microsoft-make-software-of-the-same-quality-as-Google
24-05-2021, 09:05 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html

En wat zegt dit over jouw patroon?
https://www.security.nl/search?origin=frontpage&keywords=qnap

Ransomware op QNAP, is die ook op Windows gebaseerd?
Check al die artikelen eens over een "niet-Windows systeem".

zou een malware analyse van kaspersky toch wat meer inhoud hebben dan een voorbeeld dat je nu aandraagt?

maargoed, het is een mooi voorbeeld ja, mijn suggestie zou nu zijn eens alle voorbeeldjes van de afgelopen 5j eens tezamen te brengen [en ja daarbij is qnap dus duidelijk troep-ware : "De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen."]

heeft kasperky dan gelijk volgens dat overzicht?

Mijn punt was alleen maar dat het niet alleen een Windows probleem is, ransomware komt op meer platformen voor.
Waar ik het wel mee eens ben is dat het veel vaker voorkomt op het Windows platform.
Maar mogelijk als oorzaak ook omdat er daar voor die criminelen meer valt te verdienen?
24-05-2021, 11:44 door Anoniem
"Maar mogelijk als oorzaak ook omdat er daar voor die criminelen meer valt te verdienen?"

een hypothese, maar geen onderbouwing wederom. en dat is nu net mijn point. veel uitlatingen in de security wereld worden gebaseerd op (wat lijkt) onder buik gevoel ipv dat er een gedegen onderbouwing bij komt kijken. dat is, die indruk heb ik steeds meer de laatste tijd. je ziet dat bijvoorbeeld ook over wat nu wel of niet een fatsoenlijk wachtwoord zou zijn.

ik zou dus graag eens een fatsoelijke onderbouwing willen zien voor dat "Maar mogelijk als oorzaak ook omdat er daar voor die criminelen meer valt te verdienen?" want ik kan net zo goed tegen voorbeelden of argumenten geven en zo blijven we maar wellese-niettese, toch?
24-05-2021, 11:56 door Anoniem
Door Toje Fos:
Door Anoniem: ...

ps ik wil dus geen "linux is awesome sterf MS" reacties, of van die los geslagen incoherente rants van ene karma oid. ik wil dat vele gebruikte wegwuif argument eens ter discussie stellen.

Het is alleen geen wegwuifargument! Software van slechte kwaliteit biedt veel meer mogelijkheden voor hacks.

The result of this mentality was, to put it bluntly, a lot of hacks. Windows and Office are full of massive kludges and poorly architected code. Also, because the original codebase was largely built in the 1980s and 90s, it didn’t follow modern software engineering standards like unit tests because such things weren’t in widespread use.

https://www.quora.com/Why-can%E2%80%99t-Microsoft-make-software-of-the-same-quality-as-Google

ja ook hier weer een lijst van meningen (oa van gefrustreerde mensen) maar geen gedegen onderbouwing....

en met het wegwuifargument bedoel ik het 'er is meer windows dus daarom meer malware'. dat arugment lijkt mij alleen valide te zijn als we het hebben over laaghangend fruit waarbij je vlug als crimineel aan het geld komt? ik bedoel als een target een hard nut to crack is, dan maakt het niet veel uit hoeveel mensen gepowned kunnen worden, als het maar netto een winst voor een crimineel is. wat ik denk dat we zien met ransomware enzo is een grotere bende van script-kiddies die willy nilly met veel phishing een eenvoudig te pownen target afstruinen?

ook hier weer, speculatie, en geen onderbouwing, dus eenvoudig met een net zo invalid argument te weerleggen.

ziet u mijn punt? het blijven welles - niettes discusssies zo op die manier...
24-05-2021, 13:11 door Anoniem
We zouden eens meer energie moeten stoppen in de vraag,
hoe we ransomware als cybercrimineel verschijnsel zouden moeten kunnen stoppen.

Komt dat punt er door iedereen onvervangbaar uniek te maken,
zodat elke cybercrimineel en iedere wereldburger direct te traceren
en als eventuele cybercrimineel te neutraliseren valt?
Wellicht willen een heleboel mensen dat toch weer liever niet.

Willen we een monitoring/surveillance niveau zodanig dat een verhoogde pakkans ontmoedigend gaat werken?
We hebben er de infrastructuur nog niet na in vele delen van de wereld.

Willen we het security niveau zo opkrikken dat het voor de huidige ransomware onkwetsbaar wordt?

Zeg het maar. Doen we niets, dan komt er in de herfst m.i. een te voorziene grote golf ontwrichting van de infrastructuur.
Geen 'vierde golf' dus, maar wel haperende geldautomaten, onderbroken energielevering, voedselleveringsproblemen.

"It is all in the game, working us towards a BBB-world".

#sockpuppet
25-05-2021, 22:06 door Anoniem
Ik heb het de laatste jaren gevolgd en alle grote incidenten (100% niet 99%) vinden plaats in een windows ecosysteem, terwijl de grote serversystemen niet 1 malware incident heeft gemeld. Dat is een variabele die continue wordt genegeerd. Of men heeft er geen verstand van of men verdient waarschijnlijk aan dit bewuste platform.
Een verklaring is dat er veel te veel services onder windows draaien. Zelfs applicaties draaien hun eigen update service met admin rechten omdat windowsupdate alleen windows doet. Daarnaast draait er heel veel met admin rechten. Zie IIS (http.sys). Eenmaal gehackt levert de power om te versleutelen.
Daarnaast is het patchen van windows software een enorme onzekere klus vergeleken met bv een Linux systeem. De praktijk is dan dat men dit uitstelt en dat zijn feiten gebleken.
Een ander groot punt is dat er elke maand kritieke problemen opgelost moeten worden. Veel meer dan bij Linux systemen.
Deze feiten kan je makkelijk checken.
Dat is dan nog het topje van de ijsberg want niemand mag de code bestuderen alleen maar een paar mensen die voor Microsoft werken. Dat zijn er veel te weinig vergeleken met het Linux open eco systeem (feit) en die doen dat dus ook niet (is mijn ervaring maar geen feit) want die hebben wat anders te doen zeggen ze (Azure cloud)
Hierdoor duurt het veel langer dat een kritiek probleem is opgelost dan bv bij de meeste open source.
Het allergrootste probleem is het oude design dat backwards compatible moet zijn met het verleden en dat na NT3.51 ook nog eens een GUI verweven kreeg in de kernel omdat MS Marketing vond dat windows te traag was. Dat maakt het allemaal niet doorzichtiger waardoor de ene software bult gebouwd is op een andere software bult. Dat zie je terug in de grootte van de harde schijf (minstens 10x zo groot als bij een Linux systeem), waardoor het aanvalsoppervlak ook veel groter is. Je kan nog steeds de windows GUI niet de-installeren.
26-05-2021, 10:00 door Anoniem
"Ik heb het de laatste jaren gevolgd en alle grote incidenten (100% niet 99%) vinden plaats in een windows ecosysteem, terwijl de grote serversystemen niet 1 malware incident heeft gemeld. "


heb je een overzicht ter referentie zodat we deze stelling allemaal kunnen toetsen?
26-05-2021, 16:03 door Anoniem
Door Anoniem: "Ik heb het de laatste jaren gevolgd en alle grote incidenten (100% niet 99%) vinden plaats in een windows ecosysteem, terwijl de grote serversystemen niet 1 malware incident heeft gemeld. "


heb je een overzicht ter referentie zodat we deze stelling allemaal kunnen toetsen?
Check zelf alle ransomware incidenten op security.nl. Of het nu de overheid is of een bedrijf. Daar zit geen enkel versleuteld Linux distro tussen. Geen server en geen desktop.
26-05-2021, 16:13 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html

En wat zegt dit over jouw patroon?
https://www.security.nl/search?origin=frontpage&keywords=qnap

Ransomware op QNAP, is die ook op Windows gebaseerd?
Check al die artikelen eens over een "niet-Windows systeem".

zou een malware analyse van kaspersky toch wat meer inhoud hebben dan een voorbeeld dat je nu aandraagt?

maargoed, het is een mooi voorbeeld ja, mijn suggestie zou nu zijn eens alle voorbeeldjes van de afgelopen 5j eens tezamen te brengen [en ja daarbij is qnap dus duidelijk troep-ware : "De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen."]

heeft kasperky dan gelijk volgens dat overzicht?

Mijn punt was alleen maar dat het niet alleen een Windows probleem is, ransomware komt op meer platformen voor.
Waar ik het wel mee eens ben is dat het veel vaker voorkomt op het Windows platform.
Maar mogelijk als oorzaak ook omdat er daar voor die criminelen meer valt te verdienen?
Dat is niet zo. De kroonjuwelen draaien onder Linux. De meeste servers draaien onder Linux (zie Azure). De meest waardevolle info staat op een server en niet op een desktop anders zou het niet best zijn geregeld. Het grootste probleem is dat een driveby infectie zo makkelijk door een windows desktop wordt gefaciliteerd. Evenals het automatische runnen van attachments (office macro's etc). De windows desktop blijkt steeds het grootste probleem, naast het moeilijk kunnen patchen van een windows server.
27-05-2021, 18:31 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: er begint onherroepelijk een patroon zichtbaar te worden: https://www.computable.nl/artikel/nieuws/security/7184973/250449/windows-is-zwakke-plek-bij-digitale-bankoverval.html

En wat zegt dit over jouw patroon?
https://www.security.nl/search?origin=frontpage&keywords=qnap

Ransomware op QNAP, is die ook op Windows gebaseerd?
Check al die artikelen eens over een "niet-Windows systeem".

zou een malware analyse van kaspersky toch wat meer inhoud hebben dan een voorbeeld dat je nu aandraagt?

maargoed, het is een mooi voorbeeld ja, mijn suggestie zou nu zijn eens alle voorbeeldjes van de afgelopen 5j eens tezamen te brengen [en ja daarbij is qnap dus duidelijk troep-ware : "De software bevat echter een hardcoded wachtwoord waarmee een aanvaller op afstand op het systeem kan inloggen."]

heeft kasperky dan gelijk volgens dat overzicht?

Mijn punt was alleen maar dat het niet alleen een Windows probleem is, ransomware komt op meer platformen voor.
Waar ik het wel mee eens ben is dat het veel vaker voorkomt op het Windows platform.
Maar mogelijk als oorzaak ook omdat er daar voor die criminelen meer valt te verdienen?
Dat is niet zo. De kroonjuwelen draaien onder Linux. De meeste servers draaien onder Linux (zie Azure). De meest waardevolle info staat op een server en niet op een desktop anders zou het niet best zijn geregeld. Het grootste probleem is dat een driveby infectie zo makkelijk door een windows desktop wordt gefaciliteerd. Evenals het automatische runnen van attachments (office macro's etc). De windows desktop blijkt steeds het grootste probleem, naast het moeilijk kunnen patchen van een windows server.

kun je dat staven met een referentie naar gedegen onderzoek of is het weer een van die vele 'onderbuik redeneringen'? ik ben het niet meteen oneens met je, maar ook niet eens want het is weer maar een opmerkinkje op een forum ergens vooralsnog...
27-05-2021, 18:32 door Anoniem
Door Anoniem:
Door Anoniem: "Ik heb het de laatste jaren gevolgd en alle grote incidenten (100% niet 99%) vinden plaats in een windows ecosysteem, terwijl de grote serversystemen niet 1 malware incident heeft gemeld. "


heb je een overzicht ter referentie zodat we deze stelling allemaal kunnen toetsen?
Check zelf alle ransomware incidenten op security.nl. Of het nu de overheid is of een bedrijf. Daar zit geen enkel versleuteld Linux distro tussen. Geen server en geen desktop.

maak dat lijstje dan eens in een excelsheet oid en post dat dan maar als eerste stap... anderen kunnen dan toevoegen en tegenvoorbeelden benoemen... misschien komen we dat wel ergens eens een keertje?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.