De aanvallers die eerder dit jaar systemen van de Albanese overheid via ransomware en wiper-malware platlegden, hadden al veertien maanden toegang. Deze toegang hadden ze gekregen via een kwetsbaarheid in Microsoft Sharepoint (CVE-2019-0604) waarvoor Microsoft op 12 februari 2019 een beveiligingsupdate had uitgebracht. Deze patch was echter niet geïnstalleerd. Dat stellen de Amerikaanse autoriteiten en Microsoft, die vanuit Iran opererende actoren voor de aanval verantwoordelijk houden.

De afgelopen maanden werden meerdere systemen van de Albanese overheid het doelwit van aanvallen, waaronder het overheidsportaal waar Albanezen officiële documenten kunnen aanvragen en afspraken met het consulaat kunnen maken. Eerder deze maand werd het informatiemanagementsysteem van de Albanese politie getroffen, dat informatie bevat over mensen die het land binnenkomen en verlaten.

Bij de aanvallen werden bestanden versleuteld en permanent gewist via wiper-malware. Volgens de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) hadden de aanvallers al sinds vorig jaar toegang tot de Albanese overheidssystemen. Eerder liet ook Microsoft dit weten. De aanvallers zijn volgens de Amerikaanse overheidsdiensten binnengekomen via een ongepatchte SharePoint-server. Vervolgens werden webshells gebruikt om toegang tot de server te behouden en RDP, SMB en FTP om zich lateraal door het overheidsnetwerk te bewegen.

De aanvallers wisten vervolgens ook een Exchange Server te compromitteren en verschillende mailboxes te doorzoeken. Uiteindelijk werd de ransomware en wiper-malware ingezet, waardoor systemen onbruikbaar achterbleven. Om dergelijke aanvallen te voorkomen adviseert het CISA onder andere om beschikbare beveiligingsupdates te installeren en de eigen omgeving op webshells te controleren, aangezien aanvallers deze programma's vaak gebruiken om toegang tot een gecompromitteerde server te behouden. Verder wordt aangeraden om Exchange Servers te monitoren op grote hoeveelheden data die worden gedownload.