FBI: honderden organisaties slachtoffer van Royal-ransomware
Sinds september vorig jaar zijn honderden organisaties slachtoffer van de Royal-ransomware geworden, waarbij vooral gebruik is gemaakt van phishingmails, zo melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf). De criminelen vroegen meer dan 275 miljoen dollar aan losgeld van getroffen organisaties en bedrijven. Onder andere ziekenhuizen, zorginstellingen, productiebedrijven, communicatieaanbieders en onderwijsinstellingen zijn het doelwit geweest.
"Phishingmails behoren tot de succesvolste methodes waardoor de Royal-groep initieel toegang krijgt", aldus de FBI. Tweederde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.
De FBI stelt dat er aanwijzingen zijn dat de Royal-groep mogelijk onder een andere naam verder gaat of met een 'spin-off variant' komt. Zo zijn er overeenkomsten tussen de Royal-ransomware en Blacksuit-ransomware gevonden. Op besmette systemen zijn door de FBI tal van .bat-bestanden aangetroffen, die worden gebruikt voor het aanmaken van nieuwe admingebruikers, het aanpassen van policies, instellen van registersleutels en uitrollen van de ransomware.
Om dergelijke aanvallen te voorkomen doen het CISA en de FBI meerdere aanbevelingen, waaronder het maken van offline, versleutelde back-ups, het uitschakelen van command-line en scripting activiteiten en rechten, het uitschakelen van ongebruikte poorten, updaten van software, toepassen van netwerksegmentatie en multifactorauthenticatie en het verplichten van beheerdersrechten voor het kunnen installeren van software.
Eigenlijk zegt de FBI: Neem de gebruikers zoveel mogelijk de rechten af, zodat een aanvaller onder die gebruikersrechten minder kwaad kan doen.
Het is vooral met haast dat ongelukken gebeuren.
En daarna met meer haast om ze te herstellen, nòg meer ongelukken.
Misschien is het handig om te reageren als je ook daadwerkelijk verstand van zaken hebt. RDP staat in Windows standaard uit. Windows Home ondersteund het überhaupt niet.
In een zakelijke omgeving worden applicaties vaak aangeboden via een RDP/Citrix farm, of wordt RDP gebruikt op specifieke servers voor beheertoegang. Dat is waar de ransomware dan ook gebruik van maakt bij latteral movement; bij jou PCtje thuis zal daar niet zo snel sprake van zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
