FBI meldt ransomware-aanvallen via fake browser-updates en captcha's
Bedrijven, vitale infrastructuur en andere organisaties in zowel Europa als de Verenigde Staten zijn slachtoffer van ransomware geworden doordat medewerkers fake browser-updates installeerden en zogenaamde captcha's oplosten, aldus de FBI en het Amerikaanse cyberagentschap CISA in een waarschuwing. De aanvallers achter de Interlock-ransomware hebben het voorzien op zowel Linux- als Windowssystemen.
Volgens de Amerikaanse opsporingsdienst maakt de Interlock-groep gebruik van methodes die niet typisch voor ransomwaregroepen zijn. Zo krijgen bezoekers van legitieme, gecompromitteerde websites fake updates voor Google Chrome en Microsoft Edge aangeboden. Securitybedrijf Sekoia stelt dat er ook zogenaamde updates voor beveiligingsoplossingen worden aangeboden, zoals FortiClient, Ivanti Secure Access, Cisco Webex, Cisco AnyConnect VPN en Palo Alto Networks GlobalProtect.
Daarnaast maken de aanvallers ook gebruik van een social engineering techniek genaamd "ClickFix". Hierbij krijgen internetgebruikers een zogenaamde captcha te zien. De instructies voor het oplossen van de "captcha" komen erop neer dat er een PowerShell-commando moet worden uitgevoerd dat tot de installatie van malware leidt. Volgens de FBI gaat de Interlock-groep opportunistisch te werk en is financieel gemotiveerd. Naast het versleutelen van bestanden steelt de groep ook bestanden om organisaties mee af te persen als ze geen losgeld betalen.
In de vandaag verschenen waarschuwing voor de Interlock-ransomware geeft de FBI verschillende technische details, zoals gebruikte tools en bestanden. Daarnaast worden verschillende adviezen gegeven om ransomware te voorkomen. Het gaat onder andere om het toepassen van dns-filtering, trainen van personeel om social engineering te herkennen, het tijdig verhelpen van kwetsbaarheden, toepassen van netwerksegmentatie en het verplichten van multifactorauthenticatie waar mogelijk.
Hoe vaak wordt er al niet geroepen dat awareness-training cruciaal is? Toch zien we keer op keer dat medewerkers niet zijn voorbereid op dit soort trucs. Het probleem is niet alleen dat er onvoldoende training is, maar vooral dat de bestaande trainingen vaak ineffectief of te oppervlakkig zijn. Mensen krijgen wel een theoretische uitleg, maar geen realistische scenario’s waar ze echt van leren. Het resultaat: zodra een overtuigend ogende melding verschijnt, klikken ze gewoon door.
En dan hebben we het nog niet eens gehad over de basismaatregelen die in veel bedrijven ontbreken. De FBI noemt DNS-filtering, netwerksegmentatie, tijdige patching en multifactorauthenticatie – allemaal adviezen die we al járen kennen. Dit is geen rocket science. Het feit dat deze basis nog steeds niet op orde is, wijst op een structureel probleem. Veel organisaties investeren liever in dure tools of glossy compliance-certificaten dan in daadwerkelijke risicoreductie.
De vraag is: hoe lang blijven we accepteren dat organisaties in vitale sectoren zó kwetsbaar zijn? Waarom zijn er nog steeds geen harde eisen of sancties als bedrijven de basis niet regelen? Cybercriminelen als de Interlock-groep hoeven nauwelijks creatief te zijn. Zolang er bedrijven zijn die MFA niet verplichten en personeel niet fatsoenlijk trainen, blijft ransomware een goudmijn.
Het wordt tijd dat we stoppen met brandjes blussen en eindelijk inzetten op structurele weerbaarheid. Niet alleen technologie, maar ook beleid, gedrag en handhaving moeten mee. Zolang organisaties blijven denken “bij ons gebeurt dat niet”, kunnen we er donder op zeggen dat het juist wél gebeurt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?