image

Australische overheid waarschuwt voor aanvallen met LockBit-ransomware

maandag 9 augustus 2021, 09:27 door Redactie, 4 reacties

De Australische overheid heeft een waarschuwing afgegeven voor de LockBit 2.0-ransomware nadat verschillende organisaties in het land slachtoffer zijn geworden. Daarbij werden gegevens op systemen versleuteld. Ook claimen de aanvallers dat er data is buitgemaakt en die zal worden gepubliceerd wanneer de getroffen organisaties geen losgeld betalen.

Volgens het Australische Cyber Security Centre (ACSC) zijn de in Australië gemaakte slachtoffers in verschillende sectoren actief zijn, waaronder professionele dienstverlening, bouw, productie, retail en voedsel.

De LockBit-ransomware is sinds 2019 actief en wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In juni van dit jaar verscheen versie 2.0 van de ransomware, aldus het ACSC.

Volgens het ACSC maken de aanvallers gebruik van een kwetsbaarheid in Fortinet FortiOS en FortiProxy om toegang tot de netwerken van organisaties te krijgen. Het gaat om een beveiligingslek aangeduid als CVE-2018-13379 waarvoor op 26 november 2019 een beveiligingsupdate verscheen. Via het lek kan een aanvaller de inloggegevens van vpn-gebruikers stelen. Organisaties wordt dan ook aangeraden om de kwetsbaarheid in kwestie te patchen en multifactorauthenticatie voor alle gebruikers in te schakelen. Verder wordt het dagelijks maken van back-ups en netwerksegmentatie aangeraden.

Reacties (4)
09-08-2021, 11:52 door Anoniem
"Het gaat om een beveiligingslek aangeduid als CVE-2018-13379 waarvoor op 26 november 2019 een beveiligingsupdate verscheen."

Je zal maar moeten thuiswerken voor een organisatie waarvan de ICT al ruim anderhalf jaar met vakantie is. En het lijkt erop dat de ACSC ook al sinds 2018 heeft zitten tappen door hier NU pas mee te komen. Anderszijds mooie pr tbv hun bestaansrecht, dus jammer dit.

Goed, patchen heeft veelal weerslag op de workflow van organisaties, dus (kortstondig) uitstel -evt icm een workaround- is te begrijpen. Maar je kan ook overdrijven.
09-08-2021, 12:47 door Anoniem
Ik lees in iets anders in die CVE: by enabling two-factor authentication for SSL VPN users. An attacker would then not be able to use stolen credentials to impersonate SSL VPN users.
What is trouwens FortiOS? Is dat closed source?
09-08-2021, 14:46 door Anoniem
Door Anoniem: "Het gaat om een beveiligingslek aangeduid als CVE-2018-13379 waarvoor op 26 november 2019 een beveiligingsupdate verscheen."

Je zal maar moeten thuiswerken voor een organisatie waarvan de ICT al ruim anderhalf jaar met vakantie is. En het lijkt erop dat de ACSC ook al sinds 2018 heeft zitten tappen door hier NU pas mee te komen. Anderszijds mooie pr tbv hun bestaansrecht, dus jammer dit.
Je zal maar op de IT afdeling werken en je mag vanuit het management of de business al anderhalf jaar geen updates door voeren?

[quote[Goed, patchen heeft veelal weerslag op de workflow van organisaties, dus (kortstondig) uitstel -evt icm een workaround- is te begrijpen. Maar je kan ook overdrijven.[/quote]Klopt, maar is nog steeds hier en daar actief. Of je krijgt gewoon geen budget voor onderhoud-contracten.
09-08-2021, 18:18 door Anoniem
Door Anoniem: Ik lees in iets anders in die CVE: by enabling two-factor authentication for SSL VPN users. An attacker would then not be able to use stolen credentials to impersonate SSL VPN users.
What is trouwens FortiOS? Is dat closed source?

Closed source applicatie/management interface op een Linux kernel.
Na een rechtszaak in 2005 (Harald Welte) zijn de GPL componenten op verzoek verkrijgbaar.

De appliances hebben een ASIC voor snellere inspectie en VPN offload.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.