De afgelopen maanden is een toenemend aantal bedrijven en organisaties afgeperst door een groep criminelen die binnen dertig minuten op systemen weet in te breken en allerlei data steelt. Als de getroffen organisatie geen losgeld betaalt dreigt de groep gestolen data openbaar te maken.
In tegenstelling tot veel andere aanvallen die de afgelopen maanden plaatsvonden maakt deze groep geen gebruik van ransomware. Dat meldt securitybedrijf NCC Group in een analyse. De groep wordt vanwege de snelle aanvallen en het gebruik van de tool mc.exe voor het exfiltreren van data "SnapMC" genoemd.
Om toegang tot systemen en netwerken van organisaties te krijgen maakt de groep gebruik van bekende kwetsbaarheden in webserver-applicaties en vpn-oplossingen. Het gaat onder andere om een twee jaar oude kwetsbaarheid in Telerik UI waar sinds december 2019 een beveiligingsupdate voor beschikbaar is, maar die niet door getroffen organisaties is geïnstalleerd.
Zodra de aanvallers toegang tot een systeem hebben maken ze gebruik van de PrintNightmare-kwetsbaarheid om hun rechten te verhogen. Voor dit beveiligingslek is sinds 8 juni van dit jaar een patch beschikbaar. Vervolgens wordt er via een script allerlei data in CSV-bestanden opgeslagen, die door middel van 7-Zip worden gearchiveerd. Uiteindelijk wordt de verzamelde data via de MinIO-client naar de aanvallers gestuurd.
"De toegang werd via bekende kwetsbaarheden verkregen waarvoor patches beschikbaar zijn. Het tijdig patchen en het up-to-date houden van apparaten is de meest effectieve manier om dit soort aanvallen te voorkomen", aldus het securitybedrijf. Dat adviseert organisaties om geregeld het eigen netwerk op kwetsbaarheden te scannen.
Deze posting is gelocked. Reageren is niet meer mogelijk.