Ransomware die netwerken versleutelt gebruikt RDP als ingang
De groep achter de beruchte SamSam-ransomware is nu al zo'n 2 jaar actief en door slecht beveiligde RDP-systemen nog steeds succesvol. Opmerkelijk aan SamSam, ook bekend als Samas, is dat de installatie van de ransomware handmatig plaatsvindt, complete netwerken worden versleuteld en er zeer hoge bedragen voor het ontsleutelen worden gevraagd.
Onlangs besloot een Amerikaans ziekenhuis de makers van SamSam nog 55.000 dollar te betalen om versleutelde bestanden te ontsleutelen. In tegenstelling tot andere ransomware, die vaak via bijlagen en exploits wordt verspreid, hackt de SamSam-groep organisaties. Eenmaal binnen wordt de ransomware op zoveel mogelijk systemen geïnstalleerd en wordt er actief naar back-ups gezocht om die te verwijderen of versleutelen.
In eerste instantie gebruikte de groep bekende kwetsbaarheden in JBoss-servers, waar organisaties de beschikbare updates niet voor hadden geïnstalleerd, om toegang tot netwerken te krijgen. Sinds vorig jaar wordt er echter van het Remote Desktop Protocol (RDP) gebruikmaakt. Via RDP is het mogelijk om op afstand op systemen in te loggen. Om toegang tot de RDP-systemen van organisaties te krijgen maakt de groep gebruik van bruteforce-aanvallen, zo laat securitybedrijf Secureworks in een vandaag gepubliceerd rapport weten.
Matt Webster van Secureworks sluit echter niet uit dat de groep ook gebruikmaakt van al gecompromitteerde RDP-systemen. Op internet zijn er criminelen die gehackte RPD-systemen van organisaties te koop aanbieden. De SamSam-groep zou zo toegang tot slachtoffers krijgen, aldus Webster in een interview met Security.NL. In de praktijk blijkt dat er tijd tussen het compromitteren van de RDP-gegevens of het RDP-systeem zit en de infectie door SamSam. Dat zou deze theorie ondersteunen.
Hoewel aanvallen van de groep tegen ziekenhuizen veel aandacht krijgen, worden ook andere sectoren getroffen, waaronder it-bedrijven, zakelijke dienstverleners, softwareontwikkelaars en horeca. De groep gaat daarbij opportunistisch te werk, zegt Webster. Met name kleinere organisaties die niet over goede incident response of beschikbare back-ups beschikken, of geen complex of gesegmenteerd netwerk hebben, kunnen zwaar door SamSam worden getroffen. Zo was een Amerikaans ziekenhuis zes weken door SamSam ontregeld.
Begin 2016 gaf de FBI een waarschuwing af voor SamSam. Nog altijd maakt de groep slachtoffers. De laatste campagne, die eind vorig jaar en begin dit jaar plaatsvond, zou de criminelen 350.000 dollar hebben opgeleverd. Dit is gebaseerd op de bekende Bitcoin-wallets waar slachtoffers het geld naar toe hebben overgemaakt. Het werkelijke bedrag kan echter hoger liggen, aangezien niet alle Bitcoin-wallets die de groep gebruikt bekend zijn.
Webster adviseert organisaties om hun RDP-systemen goed te beveiligen, back-ups te maken en over een incident-responseplan te beschikken en dit ook te testen. Daarnaast kan de groep door middel van systeemmonitoring ook tijdens de aanval zelf worden opgemerkt. De SamSam-groep werkt namelijk met bekende tools als Mimikatz.
Enerzijds gebeurt dat nog wel eens als een soort "poor-mans" vpn, anderzijds zijn er ook nog steeds bijvoorbeeld printers direct met Internet verbonden.
Als er zich in zo'n netwerk 'toevallig' ook rdp servers bevinden... (Zou me niks verbazen als je hier ook vergeten SMB fileservers aan zou treffen).
Trouwens; vpn's vragen toch wel enige technische kennis, er zijn genoeg IT bedrijven zonder voldoende kennis hiervan en/of budget bij $klant...
Ja dat zijn de windows only bedrijven. SSH met alleen public key authenticatie (i.c.m. fail2ban) is veel veiliger en makkelijker om op te zetten. Maar ja dat is Linux he.
Wat opvalt is dat security zoals admin:admin open sudo root hand in hand lijkt te gaan met linux
Ds opmerking over versleutelde netwerken is een aardige.
Voor de ICT specialist is dat een duidelijk stuk infrastructuur zoals routers. Voor het gangbare publieke journalisten is het iets technisch onduidelijk wat maar waarbij de machines met gegevens het niet meer doen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.