Besmette bijlage oorzaak van recente DNS-kaping
Een besmette bijlage die door een werknemer van hostingbedrijf Digitalus werd geopend was de oorzaak dat vorige week duizenden websites tijdelijk hun bezoekers naar een pagina doorstuurden die malware probeerde te installeren. De websites waren zelf niet gehackt, maar de nameservers van hostingbedrijf.
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de aanpassing van de nameservers konden de aanvallers daardoor de websites naar een ander IP-adres laten wijzen.
De DNS-instellingen konden worden gewijzigd doordat aanvallers de inloggegevens hadden bemachtigd voor het systeem waarmee de instellingen worden beheerd. Nu blijkt dat deze inloggegevens via een besmette bijlage zijn buitgemaakt.
Malware
Uit het persbericht van Digitalus blijkt het dat er geen sprake was van misbruik van een beveiligingslek in een programma zoals Adobe Reader, maar dat er een bestand werd gebruikt dat op een PDF-bestand leek, maar in werkelijkheid malware was. Dit is een veelgebruikte tactiek van cybercriminelen die een uitvoerbaar bestand van een PDF-icoon voorzien.
Daarnaast worden in Windows standaard de bestandsextensies niet getoond, waardoor het mogelijk is om een bestand als document.pdf.exe te versturen, waarbij de ontvanger alleen de bestandsnaam document.pdf te zien krijgt.
"Uit het onderzoek van Digital Investigation blijkt dat kwaadwillenden door middel van een e-mail met een nagenoeg identiek op een pdf-bijlage lijkende bijlage, op oneigenlijke wijze wachtwoorden en login-gegevens hebben weten te bemachtigen. Door het openen van de bijlage is er ongemerkt malware op het werkstation van een van de medewerkers geïnstalleerd", aldus IT-Ernity Internet Services, waar Digitalus onderdeel van uitmaakt.
Geschoolde IT-medewerker
Volgens het bedrijf had de installatie van deze malware niet voorkomen kunnen worden, omdat die door vrijwel geen enkele moderne virusscanner werd herkend. Sommige bedrijven blokkeren echter uitvoerbare bestanden op de gateway. Daarnaast zijn er ook op het niveau van het besturingssysteem maatregelen te nemen die kunnen voorkomen dat dit soort bestanden worden geopend.
"Het openen van de bijlage van deze e-mail had mij ook kunnen overkomen. De mail kwam binnen bij een afdeling die dagelijks talloze van dit type mailtjes ontvangt. Aan het bestand was niet direct zichtbaar dat het niet om een reguliere pdf ging. Een geschoolde IT-medewerker zou dit wellicht wel herkend hebben", aldus Sebastiaan de Koning, CEO van IT-Ernity.
Dus er wordt gewerkt met niet geschoolde medewerkers???? Klinkt niet echt hoopgevend...Digitalus is van mijn lijst met potentiele goede hosters gevallen.
ook niet bij Digitalus kennelijk.
Echter, ik blijf het onvergeeflijk vinden dat SIDN toegang geeft tot de beheer interface met alleen maar een usernaam
en wachtwoord, en geen verdere maatregelen neemt zoals 2nd factor authenticatie, een whitelist van IP adressen
waarvanaf ingelogd kan worden, een bevestiging van wijzigingen via een mailtje aan een geregistreerd adres, of
iets dergelijks.
Het echte prutswerk zit niet zozeer bij Digitalus maar bij SIDN. Alleen die geven het niet toe.
Ik heb in het verleden wel eens deelnemersraden van SIDN bezocht. Dan zie je vaak dat SIDN wat wil, maar door een groot deel van de deelnemers wordt teruggefloten omdat het te lastig of te duur wordt. Veel van de deelnemers zijn kleine providers die geen idee hebben van de noodzaak van beveiliging. Het andere grote deel van de deelnemers zijn marketingbedrijven, die nog minder van beveiliging weten dan van internet. Het deel goede, oplettende providers is altijd een kleine minderheid geweest.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.