FBI: honderden organisaties getroffen door RansomHub-ransomware
Sinds begin van dit jaar zijn honderden organisaties getroffen door de RansomHub-ransomware, waaronder organisaties in de vitale infrastructuur, zo stellen de FBI, het Amerikaanse cyberagentschap CISA en het ministerie van Volksgezondheid in een gezamenlijke waarschuwing. De ontwikkelaars achter RansomHub hanteren een Ransomware-as-a-Service (RaaS) model.
Door middel van RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding van de ransomware maken de partners van RansomHub gebruik van phishingmails, bekende kwetsbaarheden in onder andere Citrix ADC, FortiOS en Confluence Data Center, en password spraying.
Zodra de aanvallers toegang tot een netwerk hebben worden eerst allerlei gegevens gestolen. Daarna pas wordt de ransomware uitgerold. Als organisaties niet betalen dreigen de aanvallers de gestolen data via hun eigen website openbaar te maken. Volgens de waarschuwing zijn sinds begin dit jaar zeker 210 organisaties in allerlei sectoren slachtoffer van RansomHub geworden.
In de waarschuwing beschrijven de Amerikaanse overheidsdiensten de werkwijze van RansomHub-partners en geven ook Indicators of Compromise, waarmee organisaties een aanval kunnen detecteren of onderzoeken of ze mogelijk al gecompromitteerd zijn. Tevens wordt aangeraden beveiligingsupdates tijdig te installeren, phishingbestendige multifactorauthenticatie (MFA) te gebruiken en personeel te trainen om phishing te herkennen en te rapporteren.
(dan mis je toch een heel belangrijk gegeven)
Logisch want CISA en Microsoft hebben een Partnership. CISA wordt dus gesponsord door Microsoft.
Linux wordt alleen genoemd omdat je daar Powershell op kan installeren!
Voor initail acces wordt van alles benoemd behalve de grote Microsoft software problemen (exchange,windows) van de laatste tijd
Lijst:
Citrix ADC
FortiOS
Apache ActiveMQ
Atlassian Confluence
BIG-IP
Fortinet
en als laatste SMBv1
Op Apache na blijken dat ook allemaal gesloten producten te zijn die volop in dit ecosysteem wordt gebruikt
Vulnerabilities zijn ook allemaal bekend of zo basic dat men snel een exploit kan schrijven.
De bottomline voor aanvallers is zoveel mogelijk geld voor zo min mogelijk moeite en risico.
Zo'n conclusie kun je niet trekken. Waarom denk je dit? Bewijs?
Denk dat de belangrijkste conclusie niet is of het closed source problemen zijn (herinnert nog iemand zich log4j) maar dat de oudste geëxploiteerde cve al uit 2017 is en de “nieuwste” uit 2023. Voor alle gemelde cve’s zijn patches voorhanden. Men had al minimaal 8 maanden de tijd om te testen en uit te rollen. Wellicht dus een gebrek aan prioriteit/tijd of erger inzicht.
Denk dat de belangrijkste conclusie niet is of het closed source problemen zijn (herinnert nog iemand zich log4j) maar dat de oudste geëxploiteerde cve al uit 2017 is en de “nieuwste” uit 2023. Voor alle gemelde cve’s zijn patches voorhanden. Men had al minimaal 8 maanden de tijd om te testen en uit te rollen. Wellicht dus een gebrek aan prioriteit/tijd of erger inzicht.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.