Criminelen probeerden ransomware te verspreiden via lek in Sophos-firewall
Criminelen hebben geprobeerd om via een zerodaylek in firewalls van antivirusbedrijf Sophos ransomware te verspreiden. De aanval werd echter op tijd opgemerkt en gestopt. Eind april maakte de virusbestrijder bekend dat verschillende klanten met een Sophos-firewall via een zerodaylek waren aangevallen.
Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en verschillende scripts uit te voeren die malware op de firewall installeerden. De malware kon licentie- en serienummer, e-mailadressen van gebruikers en beheerders, gehashte wachtwoorden en een lijst met gebruikers-id's die de vpn-functionaliteit van de firewall mochten gebruiken stelen.
Na ontdekking van de aanval kwam Sophos met een hotfix die de kwetsbaarheid verhielp en "restanten" van de aanval verwijderde. De hotfix werd automatisch geïnstalleerd bij firewalls die automatisch updaten hadden ingeschakeld, wat de standaardinstelling is. In de praktijk bleek echter dat veel beheerders deze optie hadden uitgeschakeld, zo stelde securitybedrijf Rapid7 op basis van een eigen internetscan.
Ransomware
Sophos heeft nu meer details over de aanval gegeven, waaronder dat de aanvallers via het lek ransomware probeerden te verspreiden. Op gecompromitteerde firewalls plaatsten de aanvallers een shellscript dat als een "dead man switch" fungeerde. Wanneer een specifiek bestand dat de aanvallers hadden achtergelaten werd verwijderd, bijvoorbeeld na een herstart, zou er na een bepaalde tijdsperiode een ransomware-aanval op machines in het achterliggende netwerk worden uitgevoerd.
De oplossing van Sophos vereiste echter geen herstart van de firewall, waardoor de dead man switch niet werd geactiveerd. Daarop besloten de aanvallers de module die gegevens van gebruikers stal te vervangen door de module die ransomware moest verspreiden. Op dat moment had Sophos al maatregelen genomen om dit deel van de aanval te verstoren.
Om hun "Ragnarok-ransomware" binnen het achterliggende netwerk te kunnen verspreiden maakten de aanvallers gebruik van de EternalBlue-exploit van de Amerikaanse geheime dienst NSA. De exploit maakt gebruik van een kwetsbaarheid in Windows waarvoor Microsoft op 14 maart 2017 een update uitbracht. Alleen organisaties die al drie jaar lang geen updates voor hun Windowssystemen hadden geïnstalleerd liepen dan ook risico. Volgens Sophos laat de aanval zien hoe belangrijk het is om machines binnen de firewall-perimeter up-to-date te houden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.