Antivirusbedrijf: Windowscomputers aangevallen met Linux-ransomware
Criminelen maken gebruik van Linux-ransomware voor het versleutelen van Windowscomputers, zo meldt antivirusbedrijf Trend Micro. De aanvallen zijn het werk van een ransomwaregroep genaamd Qilin, die volgens de virusbestrijder dit jaar al 700 organisaties in 62 landen succesvol heeft aangevallen. De meeste slachtoffers bevinden zich in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk.
De aanvallers maken gebruik van drie technieken om toegang tot de systemen van hun slachtoffers te krijgen. Het gaat om spear phishing, geldige inloggegevens, die bijvoorbeeld eerder zijn gestolen of via een bruteforce-aanval zijn achterhaald, en fake captcha's. Trend Micro identificeerde meerdere getroffen organisaties waar medewerkers in een malafide captcha waren getrapt. De captcha's stellen dat de gebruiker een commando op het systeem moet uitvoeren om te bewijzen dat hij geen robot is. In werkelijkheid wordt zo malware op het systeem geïnstalleerd.
Zodra er toegang tot een systeem is verkregen past de ransomwaregroep de bij dit soort aanvallen gebruikelijke stappen toe, waarbij wordt geprobeerd om de rechten te verhogen en zich lateraal door het systeem te bewegen, totdat men bijvoorbeeld domain administrator is. Vervolgens wordt er data gestolen en als laatste de ransomware uitgerold. De Qilin-groep maakt sinds enige tijd ook gebruik van Linux-ransomware op Windowssystemen.
Door deze werkwijze weten de aanvallers endpoint detectiesystemen te omzeilen die niet geconfigureerd zijn om het uitvoeren van Linux binaries via remote management tools tegen te gaan, aldus Trend Micro. Voor het uitvoeren van de Linux-ransomware op Windowssystemen maken de aanvallers gebruik van de remote management software van Splashtop, waarmee het mogelijk is om systemen op afstand te beheren.
"De geavanceerde mogelijkheden van de Liunux-variant, gecombineerd met cross-platform uitrol via Splashtop Remote, vormt een aanzienlijk tactische evolutie gericht op hybride infrastructuur-omgevingen", zo stellen de onderzoekers. Zodra de aanval is afgerond laten de aanvallers een notitie achter waarin staat dat de organisatie moet betalen om openbaarmaking van de gestolen data te voorkomen. Voor de onderhandelingen over het losgeld bevat de notitie specifieke inloggegevens waarmee de getroffen organisatie op een communicatieportaal van de aanvallers kan inloggen.
Dit is niets tussen Linux en Windows. Dit is gewoon een technisch staaltje werk waar er een legitieme applicatie (Splashtop) misbruikt wordt om ongedecteerd code op het systeem van de gebruikers uit te voeren. Je kan bijna hetzelfde met WSL doen.
Wat je hier dus moet doen is Splashtop volledig blokkeren, of een antivirus zoeken die ook de code van Splashtop kan controlen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Site Reliability Engineer
NFI
Ben je thuis in het installeren, ontwikkelen en beheren van een groot aantal Linux-systemen? Als jij graag de handen uit de mouwen steekt, zowel thuis bent in software als hardware en oog hebt voor auto-matisering en vernieuwing, dan willen wij jou in ons team!
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?