image

FBI waarschuwt voor ransomware-aanvallen op vitale sector via Exchange-lekken

maandag 21 maart 2022, 09:22 door Redactie, 6 reacties

De FBI heeft organisaties in de vitale infrastructuur gewaarschuwd voor aanvallen met de AvosLocker-ransomware waarbij gebruik gemaakt zou worden van bekende kwetsbaarheden in Microsoft Exchange. Volgens de Amerikaanse opsporingsdienst is de ransomware onder andere ingezet tegen financieel dienstverleners, vitale productie en overheidsvoorzieningen.

Net als veel andere ransomwaregroepen versleutelt AvosLocker niet alleen bestanden, maar steelt die ook. Wanneer slachtoffers het gevraagde losgeld niet betalen dreigt de groep deze data openbaar te maken. Ook dreigt de groep met het uitvoeren van ddos-aanvallen wanneer er niet wordt betaald. AvosLocker heeft daarbij een voorkeur voor betalingen met cryptovaluta Monero. De groep accepteert ook Bitcoin, maar dit kost slachtoffers 10 tot 25 procent extra.

Verder stelt de FBI dat de criminelen achter AvosLocker hun slachtoffers bellen om naar de betaalsite te gaan, om daar te onderhandelen. Meerdere slachtoffers lieten weten dat AvosLocker-onderhandelaars na onderhandelingen een lager losgeldbedrag accepteerden.

Verschillende slachtoffers verklaarden aan de FBI dat de aanvallers vermoedelijk zijn binnengekomen via kwetsbaarheden in Microsoft Exchange. Het zou daarbij onder andere gaan om drie kwetsbaarheden die bij elkaar bekendstaan als ProxyShell, alsmede een kritiek beveiligingslek dat begin 2021 werd gebruikt bij zeroday-aanvallen. Voor alle vier de kwetsbaarheden die de FBI in de waarschuwing noemt zijn beveiligingsupdates beschikbaar (pdf).

Image

Reacties (6)
21-03-2022, 11:57 door Anoniem
Volgens mij moet je als IT engineer nu toch echt wel weten dat je diensten, die web-facing zijn echt iets meer aandacht moet geven dan normaal. Het is niet alleen Exchange, maar kijk even welke andere diensten en web-diensten van diverse producenten aan gruzelementen zijn geschoten...

Ik vind het echt bijzonder, hoe je ook elke keer weer leest op Technet dat "beheerders / sysadmins" updates gaan doen, en dan komen ze erachter dat ze eerst een hele update moeten doen omdat ze op oude CU's draaien of andere software patch levels. Dat je iets achter de cycles aanloopt OK, maar komop er moet toch echt wel een belletje rinkelen.
21-03-2022, 12:37 door Anoniem
Door Anoniem: Volgens mij moet je als IT engineer nu toch echt wel weten dat je diensten, die web-facing zijn echt iets meer aandacht moet geven dan normaal. Het is niet alleen Exchange, maar kijk even welke andere diensten en web-diensten van diverse producenten aan gruzelementen zijn geschoten...

Ik heb geen verstand van Exchange maar als het een "mail" server is dan zou de schade beperkt moeten zijn tot "mail". Is natuurlijk nog steeds een (beperkt) probleem. Maar toch... Typisch.
21-03-2022, 14:38 door _R0N_
Door Anoniem:
Door Anoniem: Volgens mij moet je als IT engineer nu toch echt wel weten dat je diensten, die web-facing zijn echt iets meer aandacht moet geven dan normaal. Het is niet alleen Exchange, maar kijk even welke andere diensten en web-diensten van diverse producenten aan gruzelementen zijn geschoten...

Ik heb geen verstand van Exchange maar als het een "mail" server is dan zou de schade beperkt moeten zijn tot "mail". Is natuurlijk nog steeds een (beperkt) probleem. Maar toch... Typisch.

Exchange is meer dan "mail". Exchange is dan ook best een complexe omgeving maar updaten is vrij eenvoudig en dat moet gewoon gedaan worden. Als een engineer niet in staat is z'n servers te onderhouden moet hij overwegen wat anders te doen.
22-03-2022, 08:34 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem: Volgens mij moet je als IT engineer nu toch echt wel weten dat je diensten, die web-facing zijn echt iets meer aandacht moet geven dan normaal. Het is niet alleen Exchange, maar kijk even welke andere diensten en web-diensten van diverse producenten aan gruzelementen zijn geschoten...

Ik heb geen verstand van Exchange maar als het een "mail" server is dan zou de schade beperkt moeten zijn tot "mail". Is natuurlijk nog steeds een (beperkt) probleem. Maar toch... Typisch.

Exchange is meer dan "mail". Exchange is dan ook best een complexe omgeving maar updaten is vrij eenvoudig en dat moet gewoon gedaan worden. Als een engineer niet in staat is z'n servers te onderhouden moet hij overwegen wat anders te doen.
Updaten is helemaal niet eenvoudig anders werd het wel veel meer gedaan. Het is namelijk een kwedsbare ouderwetse applicatie. Je komt van de regen in de drup.
22-03-2022, 08:38 door Anoniem
Door Anoniem:
Door Anoniem: Volgens mij moet je als IT engineer nu toch echt wel weten dat je diensten, die web-facing zijn echt iets meer aandacht moet geven dan normaal. Het is niet alleen Exchange, maar kijk even welke andere diensten en web-diensten van diverse producenten aan gruzelementen zijn geschoten...

Ik heb geen verstand van Exchange maar als het een "mail" server is dan zou de schade beperkt moeten zijn tot "mail". Is natuurlijk nog steeds een (beperkt) probleem. Maar toch... Typisch.
Dat komt omdat het onder windows draait. Windows is niet ontworpen als multiuser systeem. Dat is er later aangeplakt en zie je op veel terreinen terug (zoals die beroerde profile oplossing en dat je je settings kwijt bent na een update)
23-03-2022, 08:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Volgens mij moet je als IT engineer nu toch echt wel weten dat je diensten, die web-facing zijn echt iets meer aandacht moet geven dan normaal. Het is niet alleen Exchange, maar kijk even welke andere diensten en web-diensten van diverse producenten aan gruzelementen zijn geschoten...

Ik heb geen verstand van Exchange maar als het een "mail" server is dan zou de schade beperkt moeten zijn tot "mail". Is natuurlijk nog steeds een (beperkt) probleem. Maar toch... Typisch.
Dat komt omdat het onder windows draait. Windows is niet ontworpen als multiuser systeem. Dat is er later aangeplakt en zie je op veel terreinen terug (zoals die beroerde profile oplossing en dat je je settings kwijt bent na een update)

Dat was inderdaad mijn punt. Hoewel alleen traditionele Linux DAC tegenwoordig ook vaak niet genoeg is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.