image

Verzekeraar CNA raakte via valse browserupdate besmet met ransomware

vrijdag 23 juli 2021, 11:05 door Redactie, 15 reacties

Verzekeringsmaatschappij CNA kon via een valse browserupdate in maart van dit jaar met ransomware besmet raken. Volgens bronnen betaalde de verzekeraar uiteindelijk veertig miljoen dollar losgeld aan de aanvallers. CNA meldt de werkwijze van de aanvallers in een datalekmelding aan de procureur-generaal van de Amerikaanse staat New Hampshire (pdf).

Uit onderzoek dat CNA naar de aanval liet uitvoeren bleek dat de aanvaller op 5 maart toegang kreeg tot het werkstation van een medewerker, door een valse browserupdate die werd uitgevoerd nadat de medewerker een legitieme website bezocht. Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.

CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen. Uiteindelijk wist de aanvaller op 20 maart de monitoring- en beveiligingssoftware uit te schakelen en verschillende back-ups te verwijderen. Vervolgens werd de ransomware uitgerold op het netwerk.

Voordat de ransomware werd uitgerold kopieerde de aanvaller eerst nog allerlei gegevens van het netwerk. Hiervoor gebruikte hij de tool MEGAsync. Hierbij werd data van het CNA-netwerk versleuteld en gekopieerd naar een account bij opslagdienst MEGA. Uit onderzoek waarbij de FBI betrokken was blijkt dat de naar MEGA gekopieerde data daar niet is bekeken of gedeeld.

In een datalekmelding aan de procureur-generaal van de Amerikaanse staat Maine laat CNA weten dat de gegevens van ruim 75.000 mensen bij de aanval zijn gestolen. Daarnaast stelt de verzekeraar dat het maatregelen heeft genomen om dergelijke aanvallen in de toekomst te voorkomen.

Image

Reacties (15)
23-07-2021, 11:18 door Anoniem
Uit onderzoek dat CNA naar de aanval liet uitvoeren bleek dat de aanvaller op 5 maart toegang kreeg tot het werkstation van een medewerker, door een valse browserupdate die werd uitgevoerd nadat de medewerker een legitieme website bezocht. Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Tja wat is een legitieme website? Een website die zich houdt aan de standaards van het WWW consortium?
Of een website waarvan je zou verwachten dat er niks mee aan de hand is? Als er een fake browser update wordt
aangeboden op zo'n website, is het dan nog een legitieme website?
Lijkt er wel op dat het bij CNA niet helemaal jofel zat met de inrichting van de werkstations want als een medewerker
een executable kan downloaden van een website en deze kan installeren (al dan niet na wegklikken van waarschuwingen)
dan zijn natuurlijk alle remmen los. En AppLocker policy is wel het minimum wat je kunt doen.
23-07-2021, 13:01 door Anoniem
Alle remmen los? Of moeten we spreken van een "lax policy"?

En weer herhaal ik het nog eens uit den treure. Te weinig oog voor security, een sluitpost op de begroting bij degenen,
die de beslissingen moeten nemen en geen oog hebben voor security en dan diegenen (o.a. developers, admins),
die er oog voor zouden moeten hebben (maar geen beslissingen mogen nemen),
hebben het vaak in de opleidingen niet voldoende gehad.

Kijk naar de vacatures voor onderrichters op dit vlak. En hoe je vaak van studenten hoorde ik niet, dat men een semester lang les kreeg uit het "verkeerde" boek.

En dan komt de laksheid vanzelf, het knippen en plakken en zo code implementeren.
Dat zijn geen met snort en SNYK opgevoede luitjes, dan zijn geen javascript error hunters en bibliotheek code retirers. Zonde van de tijd, denkt de een. Tot de spreekwoordelijke mest tegen de ventilatoren aan klettert
en dan is Leiden in last.

luntrus
23-07-2021, 14:40 door Anoniem
Door Anoniem:
Uit onderzoek dat CNA naar de aanval liet uitvoeren bleek dat de aanvaller op 5 maart toegang kreeg tot het werkstation van een medewerker, door een valse browserupdate die werd uitgevoerd nadat de medewerker een legitieme website bezocht. Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Tja wat is een legitieme website? Een website die zich houdt aan de standaards van het WWW consortium?
Of een website waarvan je zou verwachten dat er niks mee aan de hand is? Als er een fake browser update wordt
aangeboden op zo'n website, is het dan nog een legitieme website?

Zucht - ook de bekende weg moet uitgelegd worden blijkbaar .

Het slaat hier natuurlijk op een website waarvoor het nodig of in elk geval normaal is dat werknemers die op kantoor kunnen bezoeken.
Dus geen porno , warez of goksite e.a.

En met name dus geen site die geblokkeerd wordt als je een proxy met z'n verboden categorie filter gebruikt - wat ze mogelijk wel gebruikten .
Het is ook net zo'n voor de hand liggende vraag als ze niks zeggen over het soort website "maar je moet ook warez sites blokkeren" - geen verkeerd idee, alleen duidelijk niet 100% afdoende.
23-07-2021, 15:45 door Anoniem
dusse... laptop P0wnen, wachten tot ze de VPN gebruiken, en dan kijken wat daar allemaal achter te vinden is. scannen, indexeren, 0days van 3 jaar oud op loslaten, paar wachtwoorden proberen op de gateway, boom R00t.

oplossing? laptops strak beheren, EN behandelen als de buitenkant, zodat een VPN alleen toegang geeft tot bijvoorbeeld een Citrix omgeving, en niks anders. Van daaruit: je kunt alleen bij gegevens via clients, maar niet bij fileshares en databases, behandel de Citrix omgeving zelf ook als hostile.
en pen-testen, en dan niet de goedkope "hier heb je onze externe ipadressen", maar ook de dure "hier, naam wachtwoord van een Admin, go nuts."
23-07-2021, 17:53 door Anoniem
Door Anoniem: dusse... laptop P0wnen, wachten tot ze de VPN gebruiken, en dan kijken wat daar allemaal achter te vinden is. scannen, indexeren, 0days van 3 jaar oud op loslaten, paar wachtwoorden proberen op de gateway, boom R00t.

oplossing? laptops strak beheren, EN behandelen als de buitenkant, zodat een VPN alleen toegang geeft tot bijvoorbeeld een Citrix omgeving, en niks anders. Van daaruit: je kunt alleen bij gegevens via clients, maar niet bij fileshares en databases, behandel de Citrix omgeving zelf ook als hostile.
en pen-testen, en dan niet de goedkope "hier heb je onze externe ipadressen", maar ook de dure "hier, naam wachtwoord van een Admin, go nuts."

DIT: "EN behandelen als de buitenkant"

Of, fancier gezegd: ZERO TRUST. Ja, hype-term, en ook echt de weg vooruit in moderne IT.
Behandel al je end-points alsof ze op het Internet staan en behandel elk toegangsverzoek (vanuit de applicaties gezien) als onvertrouwd. Eerst bewijzen wie je bent, vanaf welk netwerk, vanaf welk device, met welke app: voorwaardelijke toegang / conditional access.

Veel goede documentatie over te vinden: https://en.wikipedia.org/wiki/Zero_trust_security_model.

Wel oppassen voor verkopers met een magische "Zero Trust" firewall of iets dergelijks, want dat bestaat niet.

Zero Trust is een weg, geen "ding".
23-07-2021, 18:16 door Anoniem
toch slim dat access naar cloud-disken niet geblokkeerd was (megasync, pcloud, dropbox)
24-07-2021, 17:52 door De baard
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen.
Wat moet ik hier nou weer van maken?

Uiteindelijk wist de aanvaller op 20 maart de monitoring- en beveiligingssoftware uit te schakelen en verschillende back-ups te verwijderen. Vervolgens werd de ransomware uitgerold op het netwerk.
Zaten de backups direct vast aan het netwerk? Of werd telkens dezelfde tape gebruikt? Werd niet gecontroleerd wat er met de backups gebeurde? En hoe schakel je monitoring- en beveiligingssoftware uit zonder dat daar in ieder geval een signaal van naar een externe adres gaat?
24-07-2021, 20:46 door walmare - Bijgewerkt: 24-07-2021, 20:49
wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
24-07-2021, 22:06 door Anoniem
Door walmare: wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
Als dat het makkelijkst is dan zal dat ook gebeuren. Net als de deltavariant. Evolutie is geen hogere wiskunde. Windows zal dus veiliger moeten. Aanvalsoppervlak omlaag en beter te beheren.
25-07-2021, 08:32 door [Account Verwijderd]
Door De baard:
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen.
Wat moet ik hier nou weer van maken?
...

De hacker kreeg eerst toegang tot normaal gebruikersniveau maar wist dat, na enige tijd te brengen in het systeem, uiteindelijk te verhogen naar hogere niveaus, waarmee hij of zij zich zijdelings (op dat niveau van toegang, rechten) door het netwerk te verplaatsen.

Door Anoniem:
Door walmare: wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
Als dat het makkelijkst is dan zal dat ook gebeuren. Net als de deltavariant. Evolutie is geen hogere wiskunde. Windows zal dus veiliger moeten. Aanvalsoppervlak omlaag en beter te beheren.

Dat kan niet (Windows veiliger maken). Een spaghetticodebouwwerk is niet eens meer te onderhouden, laat staan veiliger te maken en om redenen van backwards compatibility kan je het ook niet fundamenteel omgooien. Samenvattend: Windows is dood.
25-07-2021, 14:15 door [Account Verwijderd]
Door Toje Fos:
Door De baard:
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen.
Wat moet ik hier nou weer van maken?
...

De hacker kreeg eerst toegang tot normaal gebruikersniveau maar wist dat, na enige tijd te brengen in het systeem, uiteindelijk te verhogen naar hogere niveaus, waarmee hij of zij zich zijdelings (op dat niveau van toegang, rechten) door het netwerk te verplaatsen.

Door Anoniem:
Door walmare: wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
Als dat het makkelijkst is dan zal dat ook gebeuren. Net als de deltavariant. Evolutie is geen hogere wiskunde. Windows zal dus veiliger moeten. Aanvalsoppervlak omlaag en beter te beheren.

Dat kan niet (Windows veiliger maken). Een spaghetticodebouwwerk is niet eens meer te onderhouden, laat staan veiliger te maken en om redenen van backwards compatibility kan je het ook niet fundamenteel omgooien. Samenvattend: Windows is dood.

Hemel, waar maak jij je dik over?
Windows heeft helemaal jouw interesse niet.
Uit geen enkele bijdrage van je blijkt het tegendeel.
Je bent niet anders als iemand die - uit verveling? - moppert op spruitjes terwijl je ze niet lust, of iemand zonder rijbewijs die zeurt over files, en altijd met het openbaar vervoer reist.

Grow up en besteed je energie aan iets nuttigs voor de FOSS community als je daartoe de kennis hebt en draaf niet zo door over Microsoft zus en zo dat - net als bij mij - niet in je interessesfeer zit.
25-07-2021, 15:09 door Anoniem
Maar op zo'n manier krijgen we consumentensoftware natuurlijk nooit een haar veiliger of het nu MS-Windows of Google-Android betreft. De betweters hebben hun linux flaw of choice en de goegemeente kan en mag het uitzoeken van hen,
terwijl iedereen door de grote monopoliespelers weer eens opnieuw te grazen worden genomen.

Verdienen ze dit eigenlijk wel volgens jullie? Als je dom bent, heb je veel zaken ook aan je eigen disinteresse en domheid te wijten, niet? Degenen, die de macht op zo'n manier naar zich toetrekken en de rest van de maatschappij in zalige onwetendheid en volkomen slavernij houden, lachen op de achtergrond.

Wakker worden is voor de meeste mensen, ik denk van 65% toch een veel te moeilijke opgave. Het is aan hen niet besteed. Ze slaapwandelen derhalve verder en maak ze maar niet wakker, want dat kan gevaarlijke situaties opleveren.

Joris Goedbloed
25-07-2021, 21:12 door walmare
Door Herme R:
Door Toje Fos:
Door De baard:
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen.
Wat moet ik hier nou weer van maken?
...

De hacker kreeg eerst toegang tot normaal gebruikersniveau maar wist dat, na enige tijd te brengen in het systeem, uiteindelijk te verhogen naar hogere niveaus, waarmee hij of zij zich zijdelings (op dat niveau van toegang, rechten) door het netwerk te verplaatsen.

Door Anoniem:
Door walmare: wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
Als dat het makkelijkst is dan zal dat ook gebeuren. Net als de deltavariant. Evolutie is geen hogere wiskunde. Windows zal dus veiliger moeten. Aanvalsoppervlak omlaag en beter te beheren.

Dat kan niet (Windows veiliger maken). Een spaghetticodebouwwerk is niet eens meer te onderhouden, laat staan veiliger te maken en om redenen van backwards compatibility kan je het ook niet fundamenteel omgooien. Samenvattend: Windows is dood.

Hemel, waar maak jij je dik over?
Windows heeft helemaal jouw interesse niet.
Uit geen enkele bijdrage van je blijkt het tegendeel.
Je bent niet anders als iemand die - uit verveling? - moppert op spruitjes terwijl je ze niet lust, of iemand zonder rijbewijs die zeurt over files, en altijd met het openbaar vervoer reist.

Grow up en besteed je energie aan iets nuttigs voor de FOSS community als je daartoe de kennis hebt en draaf niet zo door over Microsoft zus en zo dat - net als bij mij - niet in je interessesfeer zit.
Hij maakt zich druk over software die de maatschappij ontwricht dmv ransomware. Losgeld is het toverwoord, bijeengebracht door onwetende burgers. Zou jij je ook druk over moeten maken.
Hij constateert dat windows dood is. Vat jij dat maar op als gezeur. Waarschijnlijk verdien jij er aan. Ik hoop eigenlijk dat die ransomware voor eens en voor altijd een einde maakt aan deze pandemie en mensen niet meer om los geld vraagt want dat moeten wij weer ophoesten.
25-07-2021, 21:47 door [Account Verwijderd] - Bijgewerkt: 25-07-2021, 21:47
Door walmare:
Door Herme R:
Door Toje Fos:
Door De baard:
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen.
Wat moet ik hier nou weer van maken?
...

De hacker kreeg eerst toegang tot normaal gebruikersniveau maar wist dat, na enige tijd te brengen in het systeem, uiteindelijk te verhogen naar hogere niveaus, waarmee hij of zij zich zijdelings (op dat niveau van toegang, rechten) door het netwerk te verplaatsen.

Door Anoniem:
Door walmare: wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
Als dat het makkelijkst is dan zal dat ook gebeuren. Net als de deltavariant. Evolutie is geen hogere wiskunde. Windows zal dus veiliger moeten. Aanvalsoppervlak omlaag en beter te beheren.

Dat kan niet (Windows veiliger maken). Een spaghetticodebouwwerk is niet eens meer te onderhouden, laat staan veiliger te maken en om redenen van backwards compatibility kan je het ook niet fundamenteel omgooien. Samenvattend: Windows is dood.

Hemel, waar maak jij je dik over?
Windows heeft helemaal jouw interesse niet.
Uit geen enkele bijdrage van je blijkt het tegendeel.
Je bent niet anders als iemand die - uit verveling? - moppert op spruitjes terwijl je ze niet lust, of iemand zonder rijbewijs die zeurt over files, en altijd met het openbaar vervoer reist.

Grow up en besteed je energie aan iets nuttigs voor de FOSS community als je daartoe de kennis hebt en draaf niet zo door over Microsoft zus en zo dat - net als bij mij - niet in je interessesfeer zit.
Hij maakt zich druk over software die de maatschappij ontwricht dmv ransomware.
Hoe weet jij dat? Heb je hem persoonlijk gesproken? Hij schaatst alleen off-topic door zijn stokpaardje Microsoft spaghetti etc. erbij te sleuren. Dus klets niet zo'n vooroordeel. Reacties hier vullen al al een gierput aan vooroordelen en jij gooit er weer een schep mest bij.
Losgeld is het toverwoord, bijeengebracht door onwetende burgers. Zou jij je ook druk over moeten maken.
Druk maken? Geenszins! Zolang het mij niet persoonlijk affecteert intersesseert het mij geen zier.
Dat is geen egoïsme maar gewoon afbakenen van verwantschap. Dat zou iedereen hier ook moeten doen. Werd deze site een stuk leesbaarder op- en volwassener mee door ontbreken van topics vol smeren met fanboy gemekker over operating system zus of zo.
Hij constateert dat windows dood is. Vat jij dat maar op als gezeur. Waarschijnlijk verdien jij er aan.....
en hier stop ik met inhoudelijk reageren, want zoals gebruikelijk flipt het geouwehoer (eraan verdienen) weer triple-voudig helemaal op hol.
25-07-2021, 23:04 door walmare - Bijgewerkt: 25-07-2021, 23:06
Door Herme R:
Door walmare:
Door Herme R:
Door Toje Fos:
Door De baard:
CNA stelt dat de medewerker in kwestie standaard rechten had, maar de aanvaller zijn rechten door middel van "aanvullende malafide activiteiten" wist te verhogen om zich zo lateraal door het netwerk te bewegen.
Wat moet ik hier nou weer van maken?
...

De hacker kreeg eerst toegang tot normaal gebruikersniveau maar wist dat, na enige tijd te brengen in het systeem, uiteindelijk te verhogen naar hogere niveaus, waarmee hij of zij zich zijdelings (op dat niveau van toegang, rechten) door het netwerk te verplaatsen.

Door Anoniem:
Door walmare: wow 40 miljoen dollar. Waar zou die op geboekt worden?
Verdere uitleg wordt niet gegeven, maar bij veel van dergelijke aanvallen moet de gebruiker de zogenaamde update zelf installeren.
Niet waar. Veel begint juist met een drive-by download infectie omdat een windows werkstation (in dit geval met elevated privileges) dat zo eenvoudig faciliteert.
Als dat het makkelijkst is dan zal dat ook gebeuren. Net als de deltavariant. Evolutie is geen hogere wiskunde. Windows zal dus veiliger moeten. Aanvalsoppervlak omlaag en beter te beheren.

Dat kan niet (Windows veiliger maken). Een spaghetticodebouwwerk is niet eens meer te onderhouden, laat staan veiliger te maken en om redenen van backwards compatibility kan je het ook niet fundamenteel omgooien. Samenvattend: Windows is dood.

Hemel, waar maak jij je dik over?
Windows heeft helemaal jouw interesse niet.
Uit geen enkele bijdrage van je blijkt het tegendeel.
Je bent niet anders als iemand die - uit verveling? - moppert op spruitjes terwijl je ze niet lust, of iemand zonder rijbewijs die zeurt over files, en altijd met het openbaar vervoer reist.

Grow up en besteed je energie aan iets nuttigs voor de FOSS community als je daartoe de kennis hebt en draaf niet zo door over Microsoft zus en zo dat - net als bij mij - niet in je interessesfeer zit.
Hij maakt zich druk over software die de maatschappij ontwricht dmv ransomware.
Hoe weet jij dat? Heb je hem persoonlijk gesproken? Hij schaatst alleen off-topic door zijn stokpaardje Microsoft spaghetti etc. erbij te sleuren. Dus klets niet zo'n vooroordeel. Reacties hier vullen al al een gierput aan vooroordelen en jij gooit er weer een schep mest bij.
Losgeld is het toverwoord, bijeengebracht door onwetende burgers. Zou jij je ook druk over moeten maken.
Druk maken? Geenszins! Zolang het mij niet persoonlijk affecteert intersesseert het mij geen zier.
Dat is geen egoïsme maar gewoon afbakenen van verwantschap. Dat zou iedereen hier ook moeten doen. Werd deze site een stuk leesbaarder op- en volwassener mee door ontbreken van topics vol smeren met fanboy gemekker over operating system zus of zo.
Hij constateert dat windows dood is. Vat jij dat maar op als gezeur. Waarschijnlijk verdien jij er aan.....
en hier stop ik met inhoudelijk reageren, want zoals gebruikelijk flipt het geouwehoer (eraan verdienen) weer triple-voudig helemaal op hol.

Jij hebt helemaal niet inhoudelijk gereageerd. Hij zei windows is niet veiliger te maken. Een spaghetticodebouwwerk is niet meer te onderhouden. Hier flip jij op door aan te komen zetten met verveling en spruitjes.
Veel ICT'ers weten wat met spaghetticode wordt bedoeld. In het geval (nieuwe) windows betekend dit dat de GUI sinds NT4 is verweven met de kernel. Daarnaast hebben er al zo veel mensen aan gewerkt dat het barst van de software bulten.
Dit is wel een van de verklaringen waarom het zo mis gaat met windows of je het nu leuk vind of niet.
Mensen die hier niks mee hebben en niet gebruiken hebben er wel last van. Dat is het grote probleem. Het is nog niet zo lang geleden dat ik mijn paspoort niet kon verlengen want windows..... of dat ze in Almere niet konden printen want windows...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.