image

FBI: honderden organisaties slachtoffer van Royal-ransomware

dinsdag 14 november 2023, 10:59 door Redactie, 5 reacties

Sinds september vorig jaar zijn honderden organisaties slachtoffer van de Royal-ransomware geworden, waarbij vooral gebruik is gemaakt van phishingmails, zo melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf). De criminelen vroegen meer dan 275 miljoen dollar aan losgeld van getroffen organisaties en bedrijven. Onder andere ziekenhuizen, zorginstellingen, productiebedrijven, communicatieaanbieders en onderwijsinstellingen zijn het doelwit geweest.

"Phishingmails behoren tot de succesvolste methodes waardoor de Royal-groep initieel toegang krijgt", aldus de FBI. Tweederde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.

De FBI stelt dat er aanwijzingen zijn dat de Royal-groep mogelijk onder een andere naam verder gaat of met een 'spin-off variant' komt. Zo zijn er overeenkomsten tussen de Royal-ransomware en Blacksuit-ransomware gevonden. Op besmette systemen zijn door de FBI tal van .bat-bestanden aangetroffen, die worden gebruikt voor het aanmaken van nieuwe admingebruikers, het aanpassen van policies, instellen van registersleutels en uitrollen van de ransomware.

Om dergelijke aanvallen te voorkomen doen het CISA en de FBI meerdere aanbevelingen, waaronder het maken van offline, versleutelde back-ups, het uitschakelen van command-line en scripting activiteiten en rechten, het uitschakelen van ongebruikte poorten, updaten van software, toepassen van netwerksegmentatie en multifactorauthenticatie en het verplichten van beheerdersrechten voor het kunnen installeren van software.

Reacties (5)
14-11-2023, 12:46 door Anoniem
ik snap microsoft niet dat RDP schakel dat gewoon standaard uit..???...ten zij de gebruiker het aan zet ik begrijp er de ballen niet van. wel dat ik het ook heeft uitgeschakeld zelfs in de Windows 11 home verzie..wel zo veilig...
14-11-2023, 16:49 door Anoniem
Te zien aan de aanbeveilingen zijn het waarschijnlijk de gebruikers die het aan zetten. Net zoals aanvallers de gebruikers dingen als teamviewer etc laten installeren zodat ze de computer over kunnen nemen.
Eigenlijk zegt de FBI: Neem de gebruikers zoveel mogelijk de rechten af, zodat een aanvaller onder die gebruikersrechten minder kwaad kan doen.
14-11-2023, 19:20 door Anoniem
Er is, naar mijn weten, niks verbodens aan om een email even een nachtje te laten liggen. Of twee. En daarna pas te antwoorden. Of niet.

Het is vooral met haast dat ongelukken gebeuren.

En daarna met meer haast om ze te herstellen, nòg meer ongelukken.
14-11-2023, 21:32 door Anoniem
Door Anoniem: ik snap microsoft niet dat RDP schakel dat gewoon standaard uit..???...ten zij de gebruiker het aan zet ik begrijp er de ballen niet van. wel dat ik het ook heeft uitgeschakeld zelfs in de Windows 11 home verzie..wel zo veilig...
Beheerders hebben het nodig om windows te kunnen beheren op afstand. Ze hebben nog niet zo iets moois als cockpit: https://cockpit-project.org/
16-11-2023, 15:50 door Anoniem
Door Anoniem: ik snap microsoft niet dat RDP schakel dat gewoon standaard uit..???...ten zij de gebruiker het aan zet ik begrijp er de ballen niet van. wel dat ik het ook heeft uitgeschakeld zelfs in de Windows 11 home verzie..wel zo veilig...

Misschien is het handig om te reageren als je ook daadwerkelijk verstand van zaken hebt. RDP staat in Windows standaard uit. Windows Home ondersteund het überhaupt niet.

In een zakelijke omgeving worden applicaties vaak aangeboden via een RDP/Citrix farm, of wordt RDP gebruikt op specifieke servers voor beheertoegang. Dat is waar de ransomware dan ook gebruik van maakt bij latteral movement; bij jou PCtje thuis zal daar niet zo snel sprake van zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.