Categorie op Ransomware

Kaseya krijgt van onbekende partij decryptor voor REvil-ransomware

Kaseya heeft op woensdag van een onbenoemde derde partij een decryptor ontvangen, waarmee bestanden die getroffen zijn door REvils ransomwareaanval weer ontsleuteld kunnen worden. Het bedrijf zegt nu klanten te helpen om hun systemen te herstellen met de tool.

De decryptietool is volgens Kaseya getest door cyberbeveiligingsbedrijf Emsisoft, dat bevestigt dat de tool werkt. Er zouden nog geen problemen zijn ontstaan door het gebruik van de tool. Kaseya gaat met teams klanten actief helpen met het herstellen van hun systemen en zegt getroffen klanten nu te contacteren.

Hoe Kaseya aan de decryptor kwam is niet duidelijk; daar geeft het bedrijf geen details over. REvil bood aan de tool te verkopen voor 42 miljoen euro, al is de website van de groep sinds vorige week offline.

De supplychainaanval op Kaseya begon eerder deze maand en trof ruim duizend bedrijven. Een van de slachtoffers was de Zweedse supermarktketen Coop, die ruim de helft van zijn achthonderd winkels moest sluiten als gevolg van de cyberaanval. Kaseya maakt software voor managed service providers; bedrijven die het ict-beheer doen voor andere, kleinere organisaties. Tweakers schreef eerder een achtergrondartikel over de Kaseya-aanval.

Lees hier verder. © Tweakers.net

‘Investeren in anti-ransomwaretechnologie is niet genoeg’

Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) windt er geen doekjes om: ransomware is inmiddels zó gevaarlijk dat de nationale veiligheid in het geding is. Tegelijkertijd denkt slechts de helft van alle organisaties een aanval met gijzelsoftware het hoofd te kunnen bieden, zo blijkt uit onderzoek. Volgens

Nick Deen, marketingmanager bij beveiligingsbedrijf Mimecast, is er dan ook veel werk aan de winkel. “Organisaties maken zich zorgen over hun weerbaarheid tegen ransomware, en die zorgen lijken terecht.”
Onderzoekers van de NCTV luiden de noodklok in het Cybersecuritybeeld Nederland 2021. Volgens hen vormen ransomware-aanvallen momenteel een directe bedreiging voor allerlei overheidsdiensten, en kunnen ze belangrijke vitale processen platleggen. Aanvallen met gijzelsoftware zijn bovendien allesbehalve zeldzaam. Volgens onderzoek van Osterman Research kreeg 85 procent van de ondervraagde organisaties de afgelopen twaalf maanden een aanval te verduren. Bijna een derde kreeg zelfs vier of meer aanvallen voor de kiezen. Een groot deel daarvan betrof een aanval met ransomware.
Niet voor niets maken veel organisaties zich zorgen. Over cybercriminaliteit in het algemeen, en ransomware in het bijzonder. Volgens de onderzoekers liggen leidinggevenden het vaakst wakker van onderstaande scenario’s:
– Pogingen tot phishing die hun weg vinden naar eindgebruikers (65 procent).
– Medewerkers die phishing- en social engineering-aanvallen niet opmerken voordat ze op een link of bijlage klikken (64 procent).
– De schending van bedrijfsgegevens door een ransomware-aanval (61 procent).
– Ransomware-aanvallen die met succes endpoints infecteren (59 procent).
– Het onvermogen om te voorkomen dat ‘zerodays’ een bedreiging vormen voor systemen en toepassingen (56 procent). 

Lees hier verder. © ManagersOnline

Ransomware in Kaseya-systemen

Wat weten we allemaal over de aanvallen?

Opnieuw legt een grote ransomwareaanval veel bedrijven en zelfs op sommige plekken het openbare leven plat. De aanval op het voorheen vrij onbekende Kaseya lijkt in sommige gevallen op prominente hacks van eerder dit jaar, zoals op SolarWinds, maar wie wat dieper kijkt, ziet een nieuwe stap in de evolutie van ransomware die veel zorgen baart.

Kaseya wie?

De aanval waar het over gaat, is die op Kaseya, een relatief onbekend bedrijf dat daarmee ineens meer aandacht krijgt dan het misschien zou willen. Daarmee begint de parallel al met SolarWinds. Dat bedrijf werd eerder dit jaar getroffen door een soortgelijk probleem; het bedrijf was gehackt en via de supply chain werden klanten ervan vervolgens getroffen door malware. Een tweede parallel is dat je waarschijnlijk ook van Kaseya nog nooit gehoord had tot nu en dat beide bedrijven software maken die diep in netwerken kan kijken. Het verschil tussen de aanvallen is dat SolarWinds door spionagemalware werd getroffen en dat via Kaseya ransomware wordt verspreid.

Kaseya maakt software voor managed service providers of msp’s. Dat zijn bedrijven die op hun beurt het ict-beheer doen voor kleine organisaties. Als praktisch voorbeeld: denk je een klein bedrijfje in dat iets in de marketing of sales doet en waar 25 mensen werken op laptops met Windows. Die laptops moeten centraal worden beheerd, maar voor een dergelijk klein bedrijf is het in veel gevallen niet de moeite waard een systeembeheerder in dienst te nemen. In zo’n geval besteden de bedrijven hun ict-beheer uit aan aannemers: managed service providers.

Lees hier verder. © Tweakers.net

Misleiding als wapen in de strijd tegen ransomware

Cybercriminelen hebben het afgelopen jaar hard hun best gedaan om op grote schaal en unieke manieren te profiteren van de coronacrisis. Maar wat als je de technieken van deze snoodaards tegen hen gebruikt? Dan heb je een uitstekend beschermingsmiddel in handen, stelt Moshe Ben Simon van Fortinet.

De snelle overstap op thuiswerken bood cybercriminelen volop kansen om aanvallen uit te voeren op werknemers die een verbinding met bedrijfsnetwerken maakten via slecht beveiligde apparaten en thuisnetwerken. Vaak maakten ze voor hun aanvallen gebruik van ransomware.

Bij de meeste aanvallen maken hackers gebruik van phishing of andere middelen om het computersysteem van een slachtoffer te besmetten met ransomware, die zich vervolgens door het netwerk verspreidt. Op een gegeven moment activeren hackers de ransomware, die daarop alle geïnfecteerde systemen versleutelt, zodat bestanden en data niet langer toegankelijk zijn. Vervolgens vragen de criminelen de getroffen organisatie om losgeld in ruil voor de decryptiecode die nodig is voor het ontsleutelen van de bestanden.

Cybercriminelen gaan ervan uit dat organisaties bereid zijn om vrijwel elk losgeldbedrag te betalen om weer toegang tot hun gegevens te krijgen. En als ze dit weigeren te doen, worden hun gegevens aangeboden op het dark web. In de praktijk zien we ook steeds meer gevallen waarbij slachtoffers wel het losgeld betalen, maar nooit een decryptiesleutel ontvangen. In het ergste geval trekt de ransomware een spoor van vernieling binnen het netwerk door de harde schijven van pc’s en servers te wissen, ondanks het feit dat er losgeld is betaald.

Nepbestanden als lokmiddel

Hoe kun je je organisatie veilig houden voor ransomware-aanvallen? Door up-to-date back-ups van belangrijke bestanden op te slaan op een veilige locatie buiten het netwerk. En door alle apparaten die toegang tot het netwerk zoeken te scannen op malware. Maar dat is nog maar het begin. Het is ook belangrijk om inzicht te verwerven in de werking van ransomware. Want eenmaal je weet wat er tijdens een aanval gebeurt, kun je de technieken van cybercriminelen tegen hen gebruiken.

Zo kun je ransomware op subtiele wijze omleiden, zodat die alleen nepbestanden versleutelt die je opzettelijk hebt aangemaakt als lokmiddel. Als hackers proberen om deze valse bestanden te versleutelen, wordt er automatisch een melding getriggerd. Daarmee geven cybercriminelen hun aanwezigheid prijs voordat ze schade kunnen aanrichten. Daarvoor kunnen bedrijven en organisaties gebruikmaken van speciale cyber deception-technologie.

Lees hier verder. © Datanews

Ook bedrijven met up-to-date systemen geraakt bij grote ransomware-aanval: ‘We onderschatten de tegenstander’

Een ransomware-aanval trof dit weekend zeker 200 bedrijven. Ook bedrijven die hun software netjes op orde hebben zijn nu geraakt. “Wij onderschatten onze tegenstander”, zegt cyber security-expert Pim Takkenberg.

Ook Nederlandse bedrijven zijn slachtoffer geworden van de grootschalige hack. Om hoeveel bedrijven het precies gaat, is nog onduidelijk. Dat geldt ook voor de hoeveelheid losgeld die wordt gevraagd. Een aan Rusland gelinkte hackersgroep, die bekend staat onder naam RE-vil, zou achter de aanval zitten.

Hackers met beruchte reputatie

Pim Takkenberg is directeur van beveiligingsbedrijf Northwave en werkte voorheen als rechercheur voor de eenheid High Tech Crime van de politie. Zijn bedrijf is gespecialiseerd in het voorkomen van hacks, maar krijgt ook dagelijks hulpverzoeken van organisaties en bedrijven die zijn getroffen door een ransomeware-aanval. Ook vandaag zijn er bij zijn bedrijf meerdere telefoontjes binnengekomen van klanten in Nederland die mogelijk getroffen zijn door de hack.

Hackerscollectief RE-vil is volgens Takkenberg een beruchte naam in het circuit. “Zij staan erom bekend dat ze vooral data doorverkopen om zo in korte tijd zoveel mogelijk geld te verdienen. Wat nu opmerkelijk is, is dat juist bedrijven zijn getroffen die wel netjes updates hebben uitgevoerd. Terwijl dat normaal juist de zwakke plek is in de beveiliging.”

Ook Nederland kwetsbaar

De afgelopen tijd sloeg RE-vil al eerder toe bij grote bedrijven zoals Apple, Travelex en Acer. Ze waren ook betrokken bij een cyberaanval op de grootste oliepijplijn van de Verenigde Staten. Met als direct gevolg tekorten aan benzine bij tankstations en een flinke stijging van de brandstofprijs.

Takkenberg maakt zich al langer zorgen over de kwetsbaarheid van ons land op het gebied van cybercrime, ook omdat de aanvallen steeds geavanceerder worden. “Ik denk dat we heel kwetsbaar zijn en dan wijs ik niet eens zozeer naar de beveiliging bij bedrijven zelf. Daar valt ook nog een hoop te verbeteren, maar in mijn ogen is het grootste probleem dat we de tegenstander waar we hier mee te maken hebben onderschatten.

Ontmaskeren wie erachter zitten

“Je kunt als consument of bedrijf een aantal basismaatregelen nemen om jezelf te beschermen. Maar als je kijkt naar zo’n geval als dit dan blijkt dat zelfs als je trouw de updates uitvoert, je toch kwetsbaar bent”, zegt Takkenberg.

“We moeten als overheid de krachten bundelen om cybercriminaliteit te bestrijden. We moeten veel meer de druk opvoeren en diegenen die erachter zitten ontmaskeren. Dit is een internationale vorm van criminaliteit, dan moet je internationaal samenwerken. Dat doe je door diegenen die dit doen te identificeren, hun tegoeden te bevriezen of ze op no-fly listen te zetten.”

‘Nederland moet zich beter wapenen tegen cyberaanvallen’

De Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwde opmerkelijk genoeg begin deze week voor het toenemende gevaar van ransomware. De impact van cyberaanvallen neemt toe en de weerbaarheid is nog altijd onvoldoende. In het ‘Cybersecurity Beeld Nederland 2021’ is te lezen dat de nationale veiligheid in gevaar kan komen doordat cybercriminelen geheimen stelen of vitale infrastructuur kunnen saboteren.

Er zijn geen exacte cijfers bekend over hoeveel schade er jaarlijks is door ransomware-aanvallen, maar alleen in Nederland zou het al gaan om miljoenen euro’s aan losgeld. Eerder dit jaar waarschuwde de Cyber Security Raad (CSR) ook al dat de digitale veiligheid in Nederland onder druk staat. Ze adviseren het nieuwe kabinet om ruim 800 miljoen euro te investeren in het vergroten van cyberweerbaarheid.

© EenVandaag

© MeT-Groep