image

Groep criminelen slaat ransomware over en steelt alleen data voor afpersing

dinsdag 12 oktober 2021, 10:34 door Redactie, 8 reacties

De afgelopen maanden is een toenemend aantal bedrijven en organisaties afgeperst door een groep criminelen die binnen dertig minuten op systemen weet in te breken en allerlei data steelt. Als de getroffen organisatie geen losgeld betaalt dreigt de groep gestolen data openbaar te maken.

In tegenstelling tot veel andere aanvallen die de afgelopen maanden plaatsvonden maakt deze groep geen gebruik van ransomware. Dat meldt securitybedrijf NCC Group in een analyse. De groep wordt vanwege de snelle aanvallen en het gebruik van de tool mc.exe voor het exfiltreren van data "SnapMC" genoemd.

Om toegang tot systemen en netwerken van organisaties te krijgen maakt de groep gebruik van bekende kwetsbaarheden in webserver-applicaties en vpn-oplossingen. Het gaat onder andere om een twee jaar oude kwetsbaarheid in Telerik UI waar sinds december 2019 een beveiligingsupdate voor beschikbaar is, maar die niet door getroffen organisaties is geïnstalleerd.

Zodra de aanvallers toegang tot een systeem hebben maken ze gebruik van de PrintNightmare-kwetsbaarheid om hun rechten te verhogen. Voor dit beveiligingslek is sinds 8 juni van dit jaar een patch beschikbaar. Vervolgens wordt er via een script allerlei data in CSV-bestanden opgeslagen, die door middel van 7-Zip worden gearchiveerd. Uiteindelijk wordt de verzamelde data via de MinIO-client naar de aanvallers gestuurd.

"De toegang werd via bekende kwetsbaarheden verkregen waarvoor patches beschikbaar zijn. Het tijdig patchen en het up-to-date houden van apparaten is de meest effectieve manier om dit soort aanvallen te voorkomen", aldus het securitybedrijf. Dat adviseert organisaties om geregeld het eigen netwerk op kwetsbaarheden te scannen.

Reacties (8)
12-10-2021, 10:46 door Anoniem
Ik heb er niet veel verstand van, dat is vaak ook een voordeel.
2 Systemen die geheel los staan van elkaar, 1 Intern en 1 verbinding met de buitenwereld.
Onmogelijk ?? Misschien als je alleen door onze bestaande brillen van IT kijkt en niet buiten die blik wilt kijken.
12-10-2021, 11:06 door Anoniem
Wis data die je niet nodig hebt en houd data die je niet direct nodig hebt off-line. Zo doe ik het zelf thuis ook.

Het is soms moeilijk overzicht te houden over de data die je hebt. Nieuwe hardware is een mooie gelegenheid dingen off-line te zetten waardoor je backups ook kleiner worden. Het niet verzamelen van data in de eerste plaats is natuurlijk de beste remedie tegen deze aanvallen.

Hoe gaan bedrijven zich hier tegen verzekeren zoals de laatste tijd veel geroepen wordt?
12-10-2021, 11:27 door Anoniem
Ik heb er niet veel verstand van, dat is vaak ook een voordeel.
2 Systemen die geheel los staan van elkaar, 1 Intern en 1 verbinding met de buitenwereld.
Onmogelijk ?? Misschien als je alleen door onze bestaande brillen van IT kijkt en niet buiten die blik wilt kijken.
Hmmm, wacht even...
2 Systemen die geheel los staan van elkaar, 1 Intern en 1 verbinding met de buitenwereld.
Ik wil ook best mijn brein-capaciteit downplay'en - maar deze lijkt mij -met of zonder IT bril- nu al een contradictie.
12-10-2021, 12:00 door Anoniem
"De toegang werd via bekende kwetsbaarheden verkregen waarvoor patches beschikbaar zijn."

Neem een contract bij een hierin gespecialiseerd beveiligingsbedrijf. De kosten haal men er zo uit.
12-10-2021, 12:56 door Anoniem
De groep wordt vanwege de snelle aanvallen en het gebruik van de tool mc.exe voor het exfiltreren van data "SnapMC" genoemd
Het zal wel weer aan de gebruiker/beheerder liggen want de deze kwaliteitssoftware is heel makkelijk te patchen.
12-10-2021, 13:06 door Erik van Straten - Bijgewerkt: 12-10-2021, 13:22
De kans dat een virusscanner je redt is waarschijnlijk erg klein, want er worden tools gebruikt met ook legitieme toepassingen, waaronder mc.exe van min.io: https://www.virustotal.com/gui/file/0a1d16e528dc1e41f01eb7c643de0dfb4e5c4a67450c4da78427a8906c70ef3e/details.

Bovendien bleken de aanvallers met de rechten en privileges van het gehackte account (of accounts) in veel gevallen voldoende gegevens bij elkaar te kunnen harken (d.w.z. zonder privilege escalation).

Er zijn dus weinig aangrijpingspunten voor vroegtijdige detectie, en als de aanval binnen een half uur plaatsvindt, zal bijtijds handmatig ingrijpen sowieso niet meevallen.
12-10-2021, 18:03 door Anoniem
Nou ik ben benieuwd of onze staatssecretaris (met respect) hier binnen 30 minuten iets tegen begint.

Straks ligt echt al onze data op straat daar kun je op wachten.

Die cybercriminelen wachten niet op een vergadering.

Ik zou het als een hele ernstige waarschuwing beschouwen om in ieder geval elk overheid structuur zo snel mogelijk te updaten naar het laatste level.
13-10-2021, 04:08 door Anoniem
@Erik dat klopt. In plaats van AV zul je op netwerkmonitoring en andere logging moeten vertrouwen. Alle afwijkende scripts of executables loggen per client, network pruning om sneller verdacht verkeer te zien, afhankelijk van de data zul je wellicht een upload spike zien in je verkeer.

Stap 1 is echter asset en patch management. Weet wat er op je netwerk thuis hoort en zorg er voor dat de software/firmware/os up to date zijjn.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.