image

FBI: LockBit-ransomware besmet geen pc's met Oost-Europese taalinstelling

maandag 7 februari 2022, 09:56 door Redactie, 6 reacties

De LockBit-ransomware, die onder ander de Nederlandse defensie- en politieleverancier Abiom en de Brabantse logistiek dienstverlener Van der Helm Logistics infecteerde, alsmede consultancybedrijf Accenture, besmet geen systemen met een Oost-Europese taalinstelling, zo stelt de FBI in een nieuw document (pdf).

LockBit 2.0 wordt aangeboden als een Ransomware-as-a-Service (RaaS). Via RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het document geeft de FBI geen informatie over de gebruikte aanvalsvectoren.

Eenmaal actief probeert Lockbit eerst beheerdersrechten te verkrijgen. Dan kijkt de ransomware naar de ingestelde systeem- en taalinstellingen. "Als een Oost-Europese taal wordt gedetecteerd stopt het programma zonder infectie", zo laat de Amerikaanse opsporingsdienst weten. Wordt er een andere taal gedetecteerd, dan start de besmetting en verwijdert Lockbit logbestanden en shadow kopieën op de schijf en zoekt het onder andere remote shares en externe schijven om die te versleutelen.

Om infectie te voorkomen adviseert de FBI het gebruik van sterke wachtwoorden en multifactorauthenticatie, het verwijderen van onnodige administrative shares, het up-to-date houden van systemen, het gebruik van een host-based firewall en het inschakelen van protected files in Windows om aanpassingen aan essentiële bestanden te voorkomen. Ook wordt aangeraden command-line en scriptingactiviteiten en -permissies uit te schakelen.

Image

Reacties (6)
07-02-2022, 10:13 door Anoniem
Grappig... commandline uitschakelen. En hoe werk je er dan mee?
07-02-2022, 10:15 door Anoniem
Weet iemand of het voldoende is om bijv. Russisch als 2e taal te installeren op het systeem of moet het ook de actieve taal zijn?
Anders is het een koud kunstje om hier preventief gebruik van te maken.
07-02-2022, 11:57 door Anoniem
Door Anoniem: Grappig... commandline uitschakelen. En hoe werk je er dan mee?
Ja! Dat is voldoende, ik heb al jaren Russisch en Chinees als extra talen. Kan nooit kwaad.
07-02-2022, 16:55 door Anoniem
Door Anoniem:
Door Anoniem: Grappig... commandline uitschakelen. En hoe werk je er dan mee?
Ja! Dat is voldoende, ik heb al jaren Russisch en Chinees als extra talen. Kan nooit kwaad.
Volgens mij checkt hij de system default language en is het dus niet voldoende als 2de taal in te stellen.
08-02-2022, 06:10 door Anoniem
Ik werk op een Oost-Europese computer uit de winkel met een daar ingesteld toetsenbord.
De kwetsbare exemplaren zijn op Schiphol geassembleerd en/of komen uit Indonesia Raja.
08-02-2022, 08:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Grappig... commandline uitschakelen. En hoe werk je er dan mee?
Ja! Dat is voldoende, ik heb al jaren Russisch en Chinees als extra talen. Kan nooit kwaad.
Volgens mij checkt hij de system default language en is het dus niet voldoende als 2de taal in te stellen.

Het is vrij gemakkelijk om alleen de default language uit te lezen en de overige instellingen niet mee te nemen, ik vermoed dat het dus niet zal uitmaken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.