Onderzoeker: ransomware-aanval op telecombedrijf Colt via SharePoint-server
De ransomware-aanval op het Britse telecombedrijf Colt heeft plaatsgevonden via een gecompromitteerde SharePoint-server, zo stelt beveiligingsonderzoeker Kevin Beaumont in analyse. Colt Technology Services biedt wereldwijd elektronische netwerk-, cloud- en communicatiediensten voor de grootzakelijke markt. Op 14 augustus meldde het bedrijf dat sommige diensten als gevolg van een cyberincident niet meer werkten. Om wat voor incident het precies ging en hoe dit mogelijk was werd niet gemeld.
Criminelen achter de WarLock-ransomwaregroep eisten de aanval op en claimden meer dan een miljoen documenten buit te hebben gemaakt. Daarop liet Colt weten dat de aanvallers inderdaad gegevens hebben gestolen en het mogelijk ook om klantgegevens gaat. Klanten van Colt kunnen het telecombedrijf via een apart callcenter vragen om een lijst met bestanden die de aanvallers al op hun eigen website hebben geplaatst.
Beaumont stelde eerder al op Mastodon dat een SharePoint-server van Colt gecompromitteerd leek te zijn. Na dit bericht kreeg hij van internetscandienst LeakIX bericht dat de betreffende SharePoint-server met een webshell besmet was. Via een webshell kunnen aanvallers toegang tot een gecompromitteerde server behouden en verdere aanvallen uitvoeren.
"De server was in eerste instantie kwetsbaar voor CVE-2025–53770, maar op basis van fingerprint scan data blijkt dat die vrij snel gepatcht was, maar op dat moment al een webshell had. In andere woorden, de backdoor was al geplaatst voor later gebruik", aldus Beaumont. CVE-2025–53770 is een kritieke kwetsbaarheid in SharePoint die wereldwijd al voor het uitkomen van een update bij aanvallen werd misbruikt. Colt heeft niet bevestigd of het via dit SharePoint-lek is aangevallen.
Naast statelijke actoren maakte ook de WarLock-groep in de periode voor het uitkomen van een beveiligingsupdate gebruik van het SharePoint-lek voor het uitvoeren van ransomware-aanvallen, aldus Microsoft. Beaumont stelt dat organisaties ransomwaregroepen niet moeten betalen. "Deze gasten hebben miljoenen dollars aan aanvalsbudget. Veel meer dan jouw cyberverdedigingsbudget, alleen omdat organisaties blijven betalen." Verder vindt Beaumont het zeer riskant om anno 2025 nog een on-premises SharePoint-server te draaien. "Aanvallers zullen kwetsbaarheden in dit product blijven vinden", merkt de onderzoeker op. "Het is tijd om SharePoint vaarwel te zeggen."
Nou, dat soort zaken dus.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?