Bedrijven en organisaties doen er verstandig aan om Microsofts encryptiesoftware BitLocker op al hun netwerken in te schakelen en de encryptiesleutel bij zowel Microsoft als een offline back-up te bewaren, zo adviseren verschillende overheidsinstanties van de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland, die bij elkaar de Five Eyes-landen vormen.
Aanleiding voor het advies, dat mede afkomstig is van de FBI, NSA en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), zijn aanvallen van een groep die aan de Iraanse Revolutionaire Garde gelieerd zou zijn. De groep weet via bekende kwetsbaarheden in Log4j, Microsoft Exchange Server en Fortinet FortiOS toegang tot organisaties te krijgen. Vervolgens worden er allerlei gegevens gestolen en bestanden versleuteld.
Zo werd begin dit jaar een Amerikaans luchtvaartbedrijf via één of meerdere Log4j-kwetsbaarheden gecompromitteerd en kon er allerlei informatie worden gestolen, zo laat de waarschuwing van de Five Eyes-landen weten. Bij een andere aanval werden de Log4j-kwetsbaarheden gebruikt om de systemen van een Amerikaanse stad te compromitteren en die onder andere voor cryptomining te gebruiken.
Naast het stelen van data maakt de groep ook gebruik van Microsofts BitLocker om bestanden te versleutelen. Organisaties moeten vervolgens losgeld betalen voor de decryptiesleutel. Onlangs maakte Microsoft al melding van deze groep aanvallers die het DEV-0270 noemt. Om aanvallen tegen te gaan geven de NSA, FBI en CISA allerlei bekende adviezen, zoals het installeren van beschikbare beveiligingsupdates, het maken van back-ups, toepassen van netwerksegmentatie en gebruik van multifactorauthenticatie.
Aangezien de betreffende groep gebruikmaakt van BitLocker geven de Five Eyes-landen organisaties ook het specifieke advies om BitLocker zelf op alle netwerken te activeren, zodat de aanvallers dit niet meer kunnen doen. Vervolgens wordt organisaties aangeraden om hun BitLocker-sleutels bij zowel Microsoft als een aparte, offline back-up te bewaren. Microsoft stelt dat het encryptiesleutels niet aan de autoriteiten verstrekt als die hierom vragen.
Deze posting is gelocked. Reageren is niet meer mogelijk.