Archief op 2021-03-29

Microsoft waarschuwt voor phishing via zogenaamde Zoom-uitnodiging

Microsoft heeft op Twitter een waarschuwing gegeven voor een phishingaanval waarbij zogenaamde Zoom-uitnodigingen worden gebruikt om inloggegevens van slachtoffers te ontfutselen. De aanval begint met een e-mail waarin staat dat de ontvanger is uitgenodigd voor een Zoom-vergadering. De link naar deze zogenaamde vergadering wijst naar een website waar gebruikers worden gevraagd om met hun e-mailaccount in te loggen.

Voor het versturen van de phishingmails maken de aanvallers gebruik van gecompromitteerde accounts bij diensten zoals SendGrid, Mailgun en Amazon Simple Email Service (SES). Verder meldt Microsoft dat de aanvallers gebruikmaken van Appspot, een hostingplaform van Google, om verschillende phishing-url’s voor elk slachtoffer te genereren. Op deze manier weten de aanvallers reputatie-gebaseerde oplossingen te omzeilen, aldus Microsoft.

Volgens securitybedrijf WMC Global hebben de aanvallers via de phishingaanvallen mogelijk 400.000 inloggegevens weten te bemachtigen. “Omdat deze campagne misbruik maakt van gecompromitteerde e-mailmarketing-acounts, roepen we organisaties op om de filterregels op uitzonderingen te controleren die ervoor kunnen zorgen dat deze phishingmails worden doorgelaten”, zo adviseert Microsoft.

Lees hier verder. © Security.nl

Malwarebotnet groeit door zwakke Windows-wachtwoorden te raden

Een botnet gericht op Windows-computers is snel aan het groeien doordat het zwakke wachtwoorden kan raden van computers die aan internet gekoppeld zijn. De malware gebruikt een rootkit waardoor deze moeilijk te ontdekken is.

De Purple Fox-malware werd voor het eerst gespot in 2018, toen deze als trojan meer dan dertigduizend computers infecteerde. Tot voor kort verspreidde de malware zich alleen via exploitkits en phishingmails, zoals de meeste andere malware dat ook doet. Nu kan de malware zich ook verspreiden door van aan het internet gekoppelde Windows-computers het server message block-wachtwoord te raden via brute forcing. Daardoor verspreidt de malware zich nu snel over Windows-computers met zwakke wachtwoorden en hashes.

De ontdekking werd gedaan door onderzoekers Amit Serper en Ophir Harpaz van Guardicore Labs. In een blogpost schrijven de twee hoe de malware via de SMB, die gebruikt wordt door Windows om met printers en fileservers te communiceren, toegang krijgt tot kwetsbare computers. Als de malware toegang heeft, haalt hij de benodigde payload uit een netwerk van tweeduizend oudere en kwetsbare Windows-webservers en installeert hij stilletjes een rootkit, waardoor hij moeilijk te verwijderen en te ontdekken is.

Zodra de computer besmet is, sluit de malware alle poorten in de firewall die hij heeft gebruikt om de computer te infecteren, waardoor deze niet opnieuw besmet kan raken en waardoor de toegang niet misbruikt kan worden door anderen. Direct daarna genereert de malware een lijst internetadressen en scant hij op internet naar meer apparaten om te besmetten via zwakke wachtwoorden, om zo een groeiend botnet te maken.

Botnets worden over het algemeen gebruikt voor het uitvoeren van ddos-aanvallen, het soort aanvallen dat onlangs flinke schade aanrichtte toen een serie ddos-aanvallen TransIP raakte. Botnets kunnen echter ook gebruikt worden voor het verspreiden van malware en spam, of voor ransomware. Wat deze malware precies wil, is nog niet bekend. In gesprek met TechCrunch zegt Serper dat hij verwacht dat het botnet een basis legt voor iets groters in de toekomst. In mei vorig jaar piekte de toename van de malware, maar het aantal besmette apparaten neemt nog steeds toe.

Lees hier verder. © Tweakers.net

‘Hacks op Exchange-servers blijven in groten getale binnenstromen’

Nog steeds komen er elke dag duizenden meldingen van aanvallen op de Exchange-kwetsbaarheden binnen. Onderzoekers roepen dat de servers sneller worden gehackt dan ze kunnen tellen.

De onderzoekers van cybersecuritybedrijf F-Secure waarschuwen de gebruikers met Exchange-servers dringend om de patches te installeren. “Over de hele wereld zijn tienduizenden servers gehackt. Ze worden sneller gehackt dan we kunnen tellen. Wereldwijd is dit een ramp in wording”, zegt Antti Laatikainen, senior security consultant bij F-Secure in een blogpost.

Nog maar de helft van de servers gepatcht

Volgens onderzoekers van F-Secure zijn de patches voor de kwetsbaarheden bij nog maar ongeveer de helft van alle servers die vanaf het internet zichtbaar zijn, geïnstalleerd. Met het installeren van de patches is het probleem overigens ook niet meteen opgelost, benadrukt Laatikainen. “Nog nooit in de 20 jaar dat ik in deze industrie werk, is het zo gerechtvaardigd geweest om aan te nemen dat er bij alle bedrijven met Exchange op zijn minst digitaal op de deur is geklopt. Omdat de toegang zo eenvoudig is, kun je aannemen dat er bij de meerderheid van deze omgevingen is ingebroken.”

Toch denkt Laatikainen dat de omvang van de schade nog beperkt kan worden. “De databescherming in de GDPR eist dat diefstal van persoonsgegevens binnen 72 uur aan de autoriteiten moet worden doorgegeven. Je kunt verwachten dat het aantal meldingen van GDPR-overtredingen de komende weken historisch zal zijn. Je bedrijf hoeft morgen niet op die lange lijst van organisaties te staan als je vandaag de juiste stappen neemt.”

Dichten van de kwetsbaarheden niet lastig

En het zijn geen lastige stappen die genomen moeten worden. Microsoft doet er alles aan om het zo eenvoudig mogelijk te maken om de kwetsbaarheden in Exchange Server te dichten. In de basis is het gewoon een kwestie van de laatste updates installeren op het kwetsbare systeem en de daarop draaiende software.

Als dit voor wat voor reden dan ook niet mogelijk is, biedt Microsoft ook een tool aan die met één klik de belangrijkste kwetsbaarheid dicht en het systeem scant op mogelijk inbraken. Als de beheerder ook dat niet kan opbrengen, heeft Microsoft Defender ook een groot deel van de functionaliteit van de tool gekregen. Daarmee wordt het probleem automatisch opgelost, mits Defender is geactiveerd en zichzelf kan updaten.

© Techzine.

Bossware of Spyware… People Analytics of People Surveillance

Laatst kwam ik een tweet collectie tegen van Kevin Roose – NYT tech columnist. Auteur van “Futureproof.” Waarbij hij het had over “Bossware”. “Bossware” – software die is ontworpen om werknemers te bewaken en te evalueren, hun productiviteit bij te houden en hun tijd te beheren, door het werk te doen dat menselijke supervisors vroeger deden.

Ik moest ineens denken aan ophef onder collega’s toen we via Microsoft Outlook een keer peer week een overzicht kregen van onze “productie”. Het heette Office 365: MyAnalytics. Na een interne discussie werd de optie uitgezet.

Bossware

Bossware bestaat al jaren in de productie- en detailhandel, waar tools voor ‘personeelsbeheer’ vaak worden gebruikt om de ploegen van werknemers in te plannen, hun output bij te houden en hun prestaties te beoordelen. In 2019 bleek uit een Gartner-enquête onder 239 bedrijven dat meer dan de helft al ‘niet-traditionele monitoringtechnieken’ gebruikte voor hun werknemers, waarbij technieken werden gedefinieerd als ‘zaken als het analyseren van de tekst van e-mails en berichten op sociale media, nauwkeurig onderzoeken die, biometrische gegevens verzamelen en begrijpen hoe werknemers hun werkruimte gebruiken.”

Maar de pandemie voedt een stijging in door AI (Artificial Intelligence) aangedreven bossware die is ontworpen voor kantoormedewerkers die hun nieuw gedistribueerde personeel in de gaten willen houden.

Lees hier verder. © Dutch Cowboys

Incident Response: Voorkomen is beter dan genezen

Ruim een derde van alle Nederlandse bedrijven krijgt jaarlijks te maken met een security-incident en de kosten daarvan zijn aanzienlijk. Bij MKB-bedrijven gaat het om bedragen tussen de 2,5 en 4 ton en bij nog grotere bedrijven loopt de schade vaak zelfs in de miljoenen. Dit bedrag stijgt elk jaar nog eens met 50 procent. Door aandacht te besteden aan incident response readiness, kunnen organisaties veel tijd, geld en stress besparen voor als er een écht security-incident plaatsvindt. Driekwart van de Nederlandse bedrijven heeft echter geen incident response readiness plan. Tijd voor verbetering. Dit zijn de vier belangrijkste adviezen om de incident response readiness van je organisatie te verbeteren.

1. Voorbereiding: maak een incident response readiness-plan
2. Detectie en analyse van mogelijke aanvallen
3. Isoleren, oplossen en herstellen van een security-incident
4. Bepaal de post-incident acties

Voorkomen is beter dan genezen
Het bewustzijn van het belang van incident response readiness bij het management team is een laatste belangrijke voorwaarde voor het borgen ervan in de organisatie. De CISO kan een wezenlijke rol bij spelen bij dit bewustwordingsproces. Hij moet zorgen dat directie zich bewust is van het risico en de impact van een mogelijke cyberaanval. Een incident response readiness plan van vijf- tot zevenduizend euro is immers een lage investering in vergelijking met de kosten voor het oplossen van een cyberaanval zonder voorbereiding. Een CISO die dit goed aanpakt, laat de directie dus inzien dat incident response readiness cruciaal is voor een succesvolle, concurrerende organisaties. Want net als bij veel andere zaken in het leven geldt: voorkomen is beter dan genezen!

Lees hier verder. © Executive People

© MeT-Groep