Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Gigabytes aan data gestolen bij ransomware-aanval op Amerikaanse stad

dinsdag 11 februari 2020, 12:00 door Redactie, 8 reacties

Aanvallers die via RDP de Amerikaanse stad Pensacola met ransomware wisten te infecteren hebben gigabytes aan data buitgemaakt. Dat blijkt uit onderzoek dat de stad naar het incident liet uitvoeren en waarvan nu een managementsamenvatting openbaar is gemaakt (pdf).

Systemen van de stad raakten begin december besmet met de Maze-ransomware. Daardoor gingen onder andere mail- en betaalsystemen offline. De aanvallers eisten vervolgens 1 miljoen dollar voor het ontsleutelen van de data. Als de stad niet zou betalen, dreigden de criminelen de gestolen gegevens openbaar te maken. De stad besloot het gevraagde losgeld niet te betalen. Daarop maakten de aanvallers twee gigabyte aan gestolen data openbaar.

Volgens een 140.000 dollar kostend onderzoek van Deloitte, dat door de stad werd ingeschakeld, kwamen de aanvallers zeer waarschijnlijk binnen via twee systemen die via het remote desktopprotocol (RDP) vanaf het internet toegankelijk waren. Op minstens 27 systemen troffen onderzoekers ransomware-activiteiten aan, maar mogelijk zijn ook andere systemen door de aanval getroffen.

De aanvallers claimden dat ze 32 gigabyte aan data hadden buitgemaakt. De onderzoekers hebben bevestigd dat er 6 gigabyte aan gecomprimeerde data is gestolen. Doordat er allerlei bewijs tijdens de herstelwerkzaamheden verloren is gegaan konden de onderzoekers niet zeggen of er ook vertrouwelijke gegevens zijn benaderd. Verder staat vast dat de aanvallers volledige toegang tot de interne systemen had.

De stad beschikte over back-ups, waardoor systemen snel konden worden hersteld. De onderzoekers prijzen ook de proactieve communicatie van de stad over het incident en het aanbieden van identiteitsbescherming voor mogelijk gedupeerde burgers. Waar de stad zich nog wel kan verbeteren is het inschakelen van speciaal securitypersoneel, het ontwikkelen van een robuuster incidentresponsplan en het geregeld laten uitvoeren van security-assessments.

Image

Lek in Dell SupportAssist geeft lokale aanvaller adminrechten
Malwarebytes: adware primaire dreiging gebruikers en bedrijven
Reacties (8)
Reageer met quote
11-02-2020, 12:10 door Anoniem
Dat deliotte weet wel raad met uurtje-factuurtje. Toch mooi $47k per PDF-pagina. Per redelijk slordige PDF-pagina.
Reageer met quote
11-02-2020, 12:22 door souplost
RDP open zetten voor het hele internet is vragen om moeilijkheden.
Ik lees niet hoe de attacker is binnengekomen. Via Brute force, Social engineering, probleem in Windows RDP etc
Reageer met quote
11-02-2020, 12:26 door The FOSS - Bijgewerkt: 11-02-2020, 12:26
Door souplost: RDP open zetten voor het hele internet is vragen om moeilijkheden.
Ik lees niet hoe de attacker is binnengekomen. Via Brute force, Social engineering, probleem in Windows RDP etc

De PDF leest het volgende:
https://www.cityofpensacola.com/documentcenter/view/18879
• The attacker connected to an internet facing system with Remote Desktop Protocol (RDP) open to the internet
• The attacker found data on one or more internal file shares, and exfiltrated a subset of those files
• The attacker claims to have exfiltrated a total of 32 Gb of data from the City of Pensacola internal network
• The attacker then distributed and executed ransomware on 27 systems
Reageer met quote
11-02-2020, 12:53 door souplost
Door The FOSS:
Door souplost: RDP open zetten voor het hele internet is vragen om moeilijkheden.
Ik lees niet hoe de attacker is binnengekomen. Via Brute force, Social engineering, probleem in Windows RDP etc

De PDF leest het volgende:
https://www.cityofpensacola.com/documentcenter/view/18879
• The attacker connected to an internet facing system with Remote Desktop Protocol (RDP) open to the internet
• The attacker found data on one or more internal file shares, and exfiltrated a subset of those files
• The attacker claims to have exfiltrated a total of 32 Gb of data from the City of Pensacola internal network
• The attacker then distributed and executed ransomware on 27 systems
Ja dat had ik gelezen maar niet hoe hij aan de credentials is gekomen. Misschien had hij dat helemaal niet nodig en is RDP protocol lek by design.
Reageer met quote
11-02-2020, 13:21 door Anoniem
Alle Bluekeep wormgaatjes zijn wellicht nog niet ontdekt en gepatcht.
RDP het blijft oppassen.

#sockpuppet
Reageer met quote
11-02-2020, 13:51 door The FOSS - Bijgewerkt: 11-02-2020, 13:51
Door souplost:
Door The FOSS: ...
Ja dat had ik gelezen maar niet hoe hij aan de credentials is gekomen. Misschien had hij dat helemaal niet nodig en is RDP protocol lek by design.

Daar was ik wel van uitgegaan...
Reageer met quote
11-02-2020, 16:44 door DLans
Door souplost:
Door The FOSS:
Door souplost: RDP open zetten voor het hele internet is vragen om moeilijkheden.
Ik lees niet hoe de attacker is binnengekomen. Via Brute force, Social engineering, probleem in Windows RDP etc

De PDF leest het volgende:
https://www.cityofpensacola.com/documentcenter/view/18879
• The attacker connected to an internet facing system with Remote Desktop Protocol (RDP) open to the internet
• The attacker found data on one or more internal file shares, and exfiltrated a subset of those files
• The attacker claims to have exfiltrated a total of 32 Gb of data from the City of Pensacola internal network
• The attacker then distributed and executed ransomware on 27 systems
Ja dat had ik gelezen maar niet hoe hij aan de credentials is gekomen. Misschien had hij dat helemaal niet nodig en is RDP protocol lek by design.

Je hebt maar één account met toegang nodig. RDP direct aan het internet is met de lekken overigens vragen om problemen, met het juiste lek in hun service en dan ben je sowieso de sjaak.
Reageer met quote
11-02-2020, 19:41 door Anoniem
Is 2FA de heilige graal of kunnen lekken gebruikt worden om dit soort de andomware volledig te exploiteren?
Een gaatje vinden is een, maar meestal hebben hackers toch interactie nodig om het netwerk in kaart te brengen?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Werk jij nog thuis?

18 reacties
Aantal stemmen: 1312
Vacature
Image

Security Officer

36 - 40 uur

Als Security Officer zorg je dat het infrastructuur platform, de -broncode en de VECOZO werkplek van VECOZO zo min mogelijk kwetsbaarheden kennen. Dit doe je door kwetsbaarheden inzichtelijk te maken en op te lossen. Zo speel jij een cruciale rol in de beveiliging van al onze gegevens en bedrijfsmiddelen.

Lees meer
Mag mijn werkgever vragen of ik Corona heb (gehad) of gevaccineerd ben?
13-01-2021 door Arnoud Engelfriet

Juridische vraag: Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij ...

16 reacties
Lees meer
Advertentie

Image

Certified Secure LIVE Online

Certified Secure is LIVE. Cross Site Scripting vinden en voorkomen? Met z'n allen een volledige kubernetes cluster compromitteren? Of gewoon voorkomen dat een collega op een phishing mail klikt? Ontwikkel ook terwijl je thuiswerkt je Hacker Mindset!

Zoals altijd zijn ook onze LIVE trainingen hands-on en met persoonlijke begeleiding van ervaren Certified Secure instructeurs. Direct vanuit je browser en dus zonder nasty extra software!

Neem contact met ons op voor de mogelijkheden voor jouw team.

Lees meer
SolarWinds: overzicht van een wereldwijde supply-chain-aanval
21-12-2020 door Redactie

Het risico van een supply-chain-aanval, waarbij aanvallers via software of systemen van een derde partij bij organisaties weten ...

15 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2020 Security.nl - The Security Council
RSS Twitter