Grootschalige ransomware-aanval afgewend door beveiligingsexperts

Een niet nader genoemd bedrijf stond op het punt de laatste negatieve kop te worden en een grote ransomware-aanval te ondergaan, maar beveiligingsonderzoekers wisten de crisis op het nippertje af te wenden.

ZDNet rapporteerde over het incident, waarbij een groot bedrijf beveiligingsexperts van Sophos aan boord bracht, na de ontdekking van een groot aantal Cobalt Strike-instanties die op bedrijfscomputers waren geïnstalleerd. Op het eerste gezicht lijkt dit misschien niets verdachts, aangezien Cobalt Strike oorspronkelijk een legitiem hulpmiddel is voor het testen van penetratie. In de loop van het afgelopen jaar is Cobalt Strike echter ook in cybercriminele kringen in gebruik genomen.

Nadat het bedrijf Sophos in eerste instantie aan boord had gehaald om het uiterlijk van CobaltStrike op het netwerk te onderzoeken, ontdekten de beveiligingsonderzoekers dat het hele netwerk werd onder handen genomen en voorbereid op een grootschalige ransomware-aanval.

De criminelen waren van plan om REvil-ransomware te gebruiken en zoveel mogelijk schade aan te richten, door gegevens massaal te versleutelen. Gelukkig voor de klant van Sophos slaagden de beveiligingsonderzoekers erin de voortdurende inspanningen om het netwerk voor te bereiden op de ransomware-payload te herkennen en slaagden ze erin om de volledige last van de aanval af te wenden.

Slechts een klein aantal onbeveiligde systemen en apparaten was versleuteld, maar dat had geen noemenswaardige invloed op het bedrijf. De criminelen achter de poging tot aanval lieten een losgeldbriefje achter op de weinige apparaten die ze versleutelden, en de vraag om losgeld bedroeg $ 2,5 miljoen. Natuurlijk, aangezien de grootschalige aanval werd verijdeld, werd daar niets voor betaald.

Wat ZDNet en het Sophos-onderzoek echter aantonen, is dat de kwaadwillenden achter de aanval erin slaagden de legitieme ScreenConnect-software voor externe toegang op meer dan honderd bedrijfsmachines te sluipen zonder dat iemand het merkte en alarm sloeg.

Sophos Rapid Response-teammanager, Peter Mackenzie, geciteerd door ZDnet, zei dat de meest gebruikelijke manier voor dreigingsactoren om een eerste voet aan de grond te krijgen op een netwerk, meestal bestaat uit phishing-gebruikers of het misbruiken van VPN-kwetsbaarheden of systemen die geen multi-factor authenticatie hebben ingeschakeld. op hun VPN's.

REvil, de ransomware die het naamloze bedrijf bijna trof in deze gelukkige wending, werd ook met succes gebruikt tegen JBS - Amerika's grootste producent van vers rundvlees en varkensvlees, en in het geval met JBS had het bedrijf niet zoveel geluk. De ransomware-bende achter die aanval slaagde erin om maar liefst $ 11 miljoen uit JBS te persen.

Mackenzie gaf ook een paar beveiligingstips, waaronder wat de beveiligingsindustrie als geheel bedrijven en bedrijven probeert bij te brengen. De belangrijkste aanbevelingen zijn het up-to-date houden van beveiligingssoftware die is geïnstalleerd en beheerd vanaf een gecentraliseerde hub op alle netwerkapparaten en het updaten van elk afzonderlijk systeem met de nieuwste patches voor alle software die erop wordt uitgevoerd.