Archief op 2021-04-26

QNAP patcht kritieke lekken die ransomware faciliteerden

QNAP heeft meerdere updates uitgebracht tegen kwetsbaarheden die actief werden uitgebuit. Het bedrijf raadt gebruikers aan om de updates onmiddellijk te installeren om te beschermen tegen de Qlocker en eCh0raix-ransomware.

Recentelijk zijn een groot aantal nas-systemen van QNAP ten prooi gevallen aan de ransomware-aanvallen Qlocker en eCh0raix, vertelt het bedrijf. Aanvallers wisten in te breken op de nas-systemen, verplaatsten de bestanden erop naar een 7zip-archief met een wachtwoord en vroegen om losgeld om toegang tot de bestanden terug te krijgen. Het gevraagde bedrag was 0,01 bitcoin, ongeveer 400 euro. Om binnen te komen, maakten de aanvallers gebruik van drie kwetsbaarheden die op de nas-systemen aanwezig waren:

  • CVE-2020-36195 was een mogelijkheid om met behulp van sql-injectie in te breken via de Multimedia Console- en Media Streaming Add-on-apps.
  • CVE-2021-28799 was een kwetsbaarheid in Hybrid Backup Sync. Er bleken vaste inloggegevens ingebakken te zijn in de software. Aanvallers waren hierachter gekomen en hadden daarmee een backdoor tot de nas.
  • CVE-2020-2509 was een command injection-kwetsbaarheid in de QTS- en QuTS hero-besturingssystemen waarmee aanvallers de nas-systemen konden overnemen.
Dringend advies om updates te installeren

QNAP heeft inmiddels updates uitgebracht voor de Multimedia Console-, Media Streaming Add-on- en Hybrid Backup Sync-apps, waarmee het bedrijf claimt dat de systemen zijn beschermd tegen ransomware-aanvallen. Ook zijn de kwetsbaarheden in de besturingssystemen zelf gepatcht. Het bedrijf raadt iedereen dringend aan om de nieuwste versie te installeren van Malware Remover en die software voor de zekerheid een scan te laten doen op hun nas. Ook adviseert QNAP om de standaardpoort voor het bereiken van de gebruikersinterface te wijzigen van 8080 naar iets anders en te zorgen voor back-ups van de gegevens op de nas.

© Techzine

Trend Micro waarschuwt voor actief aangevallen lek in beveiligingssoftware

Antivirusbedrijf Trend Micro waarschuwt klanten voor een actief aangevallen kwetsbaarheid in de beveiligingssoftware van de virusbestrijder. Het beveiligingslek CVE-2020-24557 bevindt zich in Trend Micro Apex One, Apex One as a Service en OfficeScan XG. Via de kwetsbaarheid kan een aanvaller bepaalde beveiligingsfeatures uitschakelen, bepaalde Windows-features uitschakelen of misbruiken of zijn rechten verhogen.

Een aanvaller moet wel toegang tot het systeem hebben om misbruik van de kwetsbaarheid te kunnen maken. Mogelijk is de kwetsbaarheid in de beveiligingssoftware gecombineerd met een ander beveiligingslek of is er via malware misbruik van gemaakt. Trend Micro kwam vorig jaar augustus met een beveiligingsupdate voor het beveiligingslek, maar maakte gisteren bekend dat de kwetsbaarheid actief wordt aangevallen. Klanten die de update nog niet hebben geïnstalleerd worden dan ook opgeroepen dit zo snel mogelijk te doen.

Ook het Computer Emergency Reponse Team van de Japanse overheid (JPCERT) heeft een waarschuwing voor het aangevallen lek gegeven. Het is niet de eerste keer dat Trend Micro Apex One en OfficeScan het doelwit van aanvallen zijn. Vorig jaar liet de virusbestrijder nog weten dat zerodaylekken in de beveiligingssoftware actief waren misbruikt, mogelijk bij Mitsubishi Electric.

Lees hier verder. © Security.nl

Hack bij Managed IT was ransomware, losgeld is betaald

De hack waar ICT-beheerder Managed IT vorige week slachtoffer aan viel, was het gevolg van een ransomware-aanval. Hierdoor konden bijna honderd Nederlandse notariskantoren een paar dagen niet digitaal werken.

In een reactie tegen Tweakers vertellen Managed IT en securitybedrijf Northwave dat de gegevens van de ICT-beheerder waren versleuteld met Bitlocker. Dit is de schrijfencryptiemethode die onderdeel is van Windows. De hackers heeft toegang tot de systemen van Managed IT en wist met de Windows-tool het volledige systeem van het bedrijf te versleutelen.

Geen ransomware

Daarmee is het technisch gezien geen ransomware, verklaart Pim Takkenberg van Northwave, al is het resultaat hetzelfde. Northwave en Managed IT zagen uiteindelijk geen realistisch alternatief om de gegevens terug te krijgen, anders dan door op betaling over te gaan. Daarom is dit bedrag betaald, al wil het bedrijf niet zeggen om hoeveel losgeld het gaat.

Back-ups ook versleuteld

Terugvallen op een back-up was geen optie. Het bedrijf beschikte wel over back-ups op een andere locatie, maar die waren verbonden met het gehackte systeem. Daardoor wist de aanvaller die ook de versleutelen. Managed IT hanteerde geen offline back-ups.

Geen gegevens gestolen

Er is geen indicatie dat de aanvaller gegevens heeft gestolen. In de gesprekken die Managed IT en Northwave met de aanvaller voerde, heeft de aanvaller niet gedreigd met het stelen en verspreiden van de gegevens. Ook tonen de verbindingslogboeken geen indicatie dat er grote hoeveelheden gegevens zijn verstuurd. De hacker leek vooral snel te willen cashen en leek zich niet bewust te zijn van de gevoelige gegevens die bij Managed IT waren opgeslagen, zoals aktes of kopieën van paspoorten.

Meeste systemen weer online

Hoe de aanvaller toegang heeft weten te krijgen tot de systemen van Managed IT, is niet bekend. Het bedrijf is voor nu vooral bezig om zo snel mogelijk weer alle systemen in de lucht te krijgen, na het opschonen van de systemen en het controleren op malware. Inmiddels kan een groot deel van de 150 klanten, waaronder 96 notariskantoren, weer werken.

© Techzine

Ransomware treft ruim de helft van de Nederlandse organisaties

De politie registreerde in het eerste kwartaal van 2021 meer dan 3800 gevallen van cybercrime, bijna een verdubbeling ten opzichte van dezelfde periode in 2020. Maar het werkelijke aantal incidenten ligt nog een stuk hoger. Zo was ruim de helft (53%) van de Nederlandse organisaties in het afgelopen jaar slachtoffer van gijzelsoftware.

Dit blijkt uit een onderzoek onder IT- en securityprofessionals in opdracht van cyberbeveiliger Mimecast. Het onderzoek genaamd ‘State of Email Security 2021’ toont aan dat Nederlandse bedrijven zeer verschillend omgaan met een ransomwarebesmetting. Opvallend is dat maar liefst 41 procent van de getroffen organisaties het losgeld betaalde. Bijna twee derde van hen kreeg desondanks geen toegang tot de gegijzelde data.

Bijna de helft van de getroffen organisaties (49%) betaalde geen losgeld aan de cybercriminelen, maar wist op een andere manier toegang te krijgen tot de gegijzelde bestanden. Een kleine minderheid (8%) zag af van betaling én was de data kwijt. De gemiddelde downtime veroorzaakt door een besmetting met ransomware bedroeg vijf dagen.

Losgeld betalen biedt geen garanties

“Slechts een fractie van de besmettingen wordt gemeld bij de politie, maar de realiteit is dat ransomware elke dag enorme schade aanricht in Nederland”, zegt Sander Hofman van Mimecast. “Het is verontrustend dat er nog steeds zoveel organisaties zijn die het losgeld betalen, terwijl dit geen enkele garantie biedt op gegevensherstel. Bovendien spekken ze hiermee de kas van de criminelen, waardoor het probleem alleen maar groter wordt.”

Hofman begrijpt wel dat hier vaak voor gekozen wordt. “Een gijzeling kan de bedrijfsvoering soms wel maanden verstoren. Veel organisaties kunnen zich dit niet veroorloven. Ons advies is dan ook om de impact van ransomware vooraf zoveel mogelijk te beperken. Maak bijvoorbeeld meerdere externe back-ups van cruciale bedrijfsgegevens en implementeer noodvoorzieningen voor e-mail en andere essentiële systemen.”

Meer phishing

62% van de Nederlandse organisaties meldt een toename van het aantal ontvangen phishingmails. Toch traint slechts 11% zijn personeel voortdurend om cyberaanvallen te herkennen. Dit ligt fors onder het wereldwijde gemiddelde (20%).

65% van de Nederlandse organisaties kreeg in het afgelopen jaar te maken met een e-mailstoring in Microsoft 365. Volgens 80% van de respondenten heeft hun organisatie aanvullende e-mailbeveiliging nodig voor Microsoft 365. De IT- en securityprofessionals maken zich zorgen over spoofing van e-maildomeinen en websites. Ruim de helft van de Nederlandse organisaties vreest dat hun websites (52%) of e-maildomeinen (58%) zijn nagebootst door cybercriminelen.

Gebrek aan weerbaarheid

Volgens ruim een derde (36%) van de organisaties heeft een gebrek aan digitale weerbaarheid geleid tot gegevensverlies. Andere gevolgen zijn een verstoring van de bedrijfsvoering (31%) en een lagere productiviteit van medewerkers (28%).

Nederlandse organisaties zien het feit dat aanvallen steeds geavanceerder worden als de grootste uitdaging bij het gebruik van e-mail. Ook naïeve werknemers en een toename van het aantal aanvallen via e-mail worden vaak genoemd.

State of Email Security is een jaarlijks terugkerend onderzoek, uitgevoerd door onderzoeksbureau Vanson Bourne. In totaal deden er dit jaar 1225 IT- en securityprofessionals uit tien verschillende landen aan mee, waaronder 100 in Nederland. De deelnemers beantwoordden vragen over een breed scala aan securitygerelateerde onderwerpen, zoals ransomware, phishing, e-mailbeveiliging en security-awareness.

Lees hier verder. © DutchITChannel

Wanneer is het online toegang bieden tot gelekte wachtwoorden een strafbaar feit?

Juridische vraag: De zoekmachine We Leak Info is volgens het Openbaar Ministerie (OM) opgezet om criminelen eenvoudig toegang te geven tot e-mailadressen en wachtwoorden, maar de betrokken Nederlandse verdachte beweert dat de website goede bedoelingen had. Dat las ik bij Nu.nl vorige week. Maar hoe is dat illegaal, we hebben toch ook Have I Been Pwned van Troy Hunt waar je dat mee kunt doen. Wat is juridisch nou het verschil?

Antwoord: Even beginnen bij de wet. Artikel 139d Wetboek van Strafrecht zegt dat het een strafbaar feit is als je

een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden hebt

De beperking is dat je dat doet “met het oogmerk dat daarmee [computervredebreuk of gegevensdiefstal] wordt gepleegd”. En daar zit hem dus de crux: mensen adviseren “ja je wachtwoord is gelekt” is natuurlijk heel wat anders dan “het wachtwoord van Wim is BruineHoed123” verkopen aan criminelen.

Eh, wacht, verkopen? Ja, aldus het OM: meneer adverteerde op bekende criminelenforums dus kennelijk wil je dan misdadigers die gegevens verkopen, precies wat we hier strafbaar stellen. Maar nee:

Hen proberen te bereiken zou ook de reden zijn geweest dat We Leak Info op hackforums adverteerde, al leverde dat volgens de Nederlander ook “verkeerde klanten” op.

Mij lijkt dat als je in zo’n situatie weet dat een klant “verkeerd” is, dat je dan niet moet gaan handelen want dan val je – via voorwaardelijke opzet – onder dat oogmerk.

Verder vergeten heel veel mensen die deze vergelijking maken, dat Hunt buitengewoon veel moeite steekt in het niet daadwerkelijk lekken van wachtwoorden. Standaard kun je alleen zoeken op e-mailadres of telefoonnummer en dan zegt hij welke dienst het datalek had waar dat adres of nummer in zat. Het wachtwoord krijg je niet te zien. Daarmee is er hoe dan ook geen sprake van een strafbaar feit. Ik kan me omgekeerd eigenlijk ook niet voorstellen wat wél een legitieme use case is van het publiceren van login én wachtwoord.

Lees hier verder. © Security.nl

© MeT-Groep