Het Amerikaanse ministerie van Volksgezondheid heeft zorginstellingen gewaarschuwd voor ransomware-aanvallen waarbij de aanvallers door middel van het remote desktop protocol (RDP) weten binnen te dringen. Het gaat dan specifiek om aanvallen met de Venus-ransomware, die volgens het ministerie sinds augustus wereldwijd slachtoffers heeft gemaakt (pdf).
Om toegang tot organisaties te krijgen maken de aanvallers gebruik van RDP, waarmee het mogelijk is om op afstand op systemen in te loggen. Dit is mogelijk door middel van gestolen inloggegevens of bruteforce-aanvallen. Zodra de aanvallers toegang hebben schakelen ze 39 processen van databaseservers en Microsoft Office-applicaties uit. Vervolgens worden logbestanden en shadow copy volumes verwijderd en de beveiligingsmaatregel Data Execution Prevention uitgeschakeld. Recentelijk is zeker één Amerikaanse zorginstelling door de ransomware getroffen, aldus het ministerie.
Zorginstellingen worden door het Health Sector Cybersecurity Coordination Center (HC3) van het ministerie geadviseerd om verschillende maatregelen te nemen. Aangezien de RDP-aanvallen ook op niet-standaard TCP-poorten plaatsvinden wordt geadviseerd om RDP achter een firewall te plaatsen. Verder wordt aangeraden om multifactorauthenticatie in te schakelen en RDP alleen via een vpn-verbinding toegankelijk te maken. Ook adviseert het ministerie rate limiting in te stellen, om zo bruteforce-aanvallen tegen te gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.