Beveiligingslekken in SmarterMail en GoAnywhere MFT zijn gebruikt bij ransomware-aanvallen en op het moment van de aanvallen waren er nog geen beveiligingsupdates beschikbaar om de kwetsbaarheden te verhelpen, zo stelt Microsoft. De aanvallen zijn volgens het techbedrijf het werk van een groep criminelen die het Storm-1175 noemt. De groep heeft het vooral voorzien op zorgorganisaties, onderwijsinstellingen, dienstverleners en financiele bedrijven in Australie, het Verenigd Koninkrijk en de Verenigde Staten.
Microsoft meldt dat de groep zeer snel misbruik maakt van kwetsbaarheden zodra die bekend zijn gemaakt. Het gaat onder andere om beveiligingslekken in Microsoft Exchange, Papercut, Ivanti Connect Secure, ConnectWise ScreenConnect, SimpleHelp en BeyondTrust en SAP NetWeaver. In sommige gevallen wisten de aanvaller al een dag na het uitkomen van de beveiligingsupdate kwetsbare, nog niet gepatchte systemen aan te vallen.
In het geval van SmarterMail en GoAnywhere MFT (managed file transfer) vond misbruik plaats voordat beveiligingsupdates beschikbaar waren. In beide gevallen kwamen de leveranciers een week nadat de aanvallen waren waargenomen met een patch. GoAnywhere MFT (managed file transfer) is een oplossing waarmee organisaties bestanden kunnen uitwisselen. SmarterMail wordt omschreven als een Windows/Linux-gebaseerde mailserver en groupware-alternatief voor Microsoft Exchange.
Zodra de aanvallers toegang tot een systeem hebben verkregen proberen ze zich lateraal door het netwerk te bewegen en uiteindelijk de domain controller te compromitteren. Vervolgens maken de aanvallers gebruik van PDQ Deployer, een legitieme tool waarmee systeembeheerders software kunnen installeren, om uiteindelijk op systemen in het netwerk de ransomware uit te rollen.
Microsoft adviseert organisaties om ervoor te zorgen dat hun 'web-facing' systemen niet direct vanaf het publieke internet toegankelijk zijn, maar er gebruik wordt gemaakt van een vpn. Wanneer bepaalde servers wel vanaf het internet toegankelijk moeten zijn, wordt aangeraden om gebruik te maken van een web application firewall (WAF), reverse proxy of DMZ.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
