BadRabbit-ransomware maakte gebruik van NSA-exploit
De BadRabbit-ransomware die afgelopen dinsdag allerlei bedrijven en organisaties infecteerde maakte gebruik van een NSA-exploit om zich binnen netwerken te verspreiden. Dat laat Cisco vandaag weten. Voor zover bekend vond de initiële infectie plaats via een zogenaamde Flash Player-update die via gehackte websites aan internetgebruikers werd aangeboden.
Zodra deze "update" was gedownload en geopend werd de BadRabbit-ransomware geïnstalleerd. Naast het versleutelen van bestanden en het overschrijven van het Master Boot Record (MBR) van de harde schijf probeerde de ransomware ook andere machines in het netwerk te infecteren. Al gauw werd vastgesteld dat dit gebeurde via een lijst met veelvoorkomende wachtwoorden en het onderscheppen van inloggegevens. Kort na de uitbraak meldde ESET-onderzoeker Lukas Stefanko dat BadRabbit ook de EternalBlue-exploit van de NSA gebruikte om zich verder binnen het netwerk te verspreiden. Dit bleek achteraf niet het geval te zijn.
Cisco stelt nu dat er toch een exploit van de NSA door de ransomware is ingezet, namelijk EternalRomance. Deze exploit, die bij de NSA werd gestolen en in april van dit jaar door een groep genaamd Shadow Brokers openbaar werd gemaakt, maakt net als EternalBlue gebruik van een kwetsbaarheid in de SMB-dienst van Microsoft. De exploit werkt op Windows XP, Vista, Windows 7, Server 2003 en Server 2008. Via het beveiligingslek kan een aanvaller code op kwetsbare computers uitvoeren. De kwetsbaarheid (CVE-2017-0145) werd in maart van dit jaar door Microsoft gepatcht. Veel organisaties hadden de update niet meteen geïnstalleerd, zo bleek uit de uitbraak van de WannaCry-ransomware in mei. Hoe effectief het gebruik van de EternalRomance-exploit door BadRabbit was is nog onbekend.
Expploits worden ontdekt, ingezet als 0-day en dan breder bekend (maar niet altijd gemeld of gepatched), een ander deel komt zonder eerder gebruik na patchen in de openbaarheid om vervolgens ingezet te worden. Denk je dat kwetsbaarheden slechts door een persoon of organisatie ontdekt worden? Dan moet je echt wakker worden want het er spelen heel veel belangen, waaronder geld en kennis waar heel veel figuren graag gebruik van maken. De een onder een wettelijk recht, de ander volkomen illegaal. Als overheden kwetsbaarheden vinden doen bedrijven en anderen dat net zo en gezien de hoeveelheid malware en criminele activiteiten waarschijnlijk een heel stuk breder. Als de overheden het niet zouden doen mag je je afvragen of de wereld echt veiliger is. Misschien voelt het alleen beter voor de gemoedsrust.
Daarom is verantwoord in de openbaarheid brengen zo belangrijk. Daarom is het opleiden tot het juist gebruiken van beste praktijken zo belangrijk.
Leer die mensen security headers inzetten, info proliferatie tegengaan, SRI hashes genereren, kwetsbare code en kwetsbare encryptie en sleutel generators niet langer gebruiken, en ook zwakheden onder dwang van straf afvoeren.
Anders komen we nooit weg uit al die sh*t!
Certificaten als root op den server, weg ermee, oude plug-in code en verlaten code, overboord ermee. Leren error-hunten, doorspitten die sources en sinks. javascript unpacken, kijken waar de code te lang loopt en dan errors navolgen.
Kijken naar wat te exploiteren valt. Leer de 9 groepen C2 server snort alerts uit je hoofd. Doe er wat mee en doe er wat aan en tegen. Klop je eigen dhcp code in, daar leer je wat van.
Neen, we gaan liever verder met vriendje Onbenul en maatje Domgehouden. Zo wordt het toch nooit wat. Ieder moet zijn eigen straatje schoonvegen, ieder uitblinken in zijn eigen metier.
De website administrator en website bouwer/developer moeten hand in hand gaan met de website beveiliger. Een ideale wereld bestaat niet, maar verbeter de wereld en begin vervolgens bij je zelf. Ik draag mijn steentje al bij, al ruim vijftien jaar,
van weak cgi tot jquery bibliotheken afvoeren. En de zeven kruisjes naderen al, maar met code voel ik me nog net veertien.
Nu even weer iets opzoeken bij StackOverflow en kijken op Github of een scriptje maken voor onder de Tampermonkey.
Slokje koffie, sambalnootje erbij, come on folks, come on!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.