Homeland Security waarschuwt dat zwakke wachtwoorden tot ransomware-aanvallen kunnen leiden

Het is lang geleden dat ransomware-operators zich meer op bedrijven en organisaties gingen richten dan op individuele gebruikers. Het was een behoorlijk grote verschuiving, en nogal wat mensen waren erdoor verbaasd, maar als je erover nadenkt, zul je zien dat er een paar goede redenen voor waren.

Ten eerste: hoe meer mensen het belang van back-ups leerden, hoe minder succesvol de afpersingspogingen werden. Bovendien bleken cryptojacking-aanvallen niet alleen veel gemakkelijker uit te voeren, maar ook winstgevender dankzij de stijgende prijzen voor cryptocurrency.

Naast dit alles beseften de oplichters dat een ransomware-aanval in de bedrijfswereld veel meer verstorend zou kunnen zijn. Herstellen vanaf een back-up is voor een bedrijf ingewikkelder dan voor een individuele gebruiker, en een succesvolle aanval kan een bedrijf zelfs dwingen zijn deuren tijdelijk te sluiten, wat verwoestend kan zijn. Zowel aanvallers als bedrijven moeten zich hiervan inmiddels goed bewust zijn, maar het lijkt erop dat veel organisaties zichzelf blijven overtuigen dat het hen niet zal overkomen.

De Nefilim-ransomware treft organisaties in Nieuw-Zeeland

Vorige week gaf het Nieuw-Zeelandse Computer Emergency Response Team (NZ-CERT) een advies uit om de organisatie te waarschuwen voor een ransomwarecampagne die de ronde deed. De experts van NZ-CERT hadden een verhoogde activiteit opgemerkt van een ransomwarefamilie genaamd Nefilim, en ze probeerden bedrijven te waarschuwen voor de gevaren waarmee ze worden geconfronteerd.

Nefilim is gebaseerd op de Nemty-ransomware, maar de oplichters hebben verschillende cruciale wijzigingen aangebracht die het veel geschikter maken voor aanvallende organisaties. Volgens Trend Micro wordt Nefilim, in tegenstelling tot Nemty, niet als een service aangeboden en wordt het beheerd door een enkele groep die gerichte aanvallen organiseert. Volgens het advies van NZ-CERT gebruiken de hackers, zodra ze voet aan de grond hebben gekregen op een bedrijfsnetwerk, verschillende tools om lateraal te bewegen en gegevens te stelen, die ze later dreigen te verkopen als het slachtoffer niet betaalt. Daarna worden de bestanden van het slachtoffer versleuteld met een combinatie van AES en RSA.

Dit is echter niet de reden waarom NZ-CERT zijn advies heeft uitgebracht. Het deed het omdat het voorkomen van de aanval helemaal niet moeilijk is.

DHS en NZ-CERT: Patch uw systemen en versterk tegelijkertijd uw wachtwoorden

Wanneer de aanvallen op organisaties zijn gericht in plaats van op individuele gebruikers, hebben de oplichters de neiging om de traditionele spam-e-mail te vermijden. In de zakelijke omgeving zijn de spamfilters doorgaans wat geavanceerder en sommige organisaties voeren antiphishing-trainingsprogramma's uit die werknemers helpen de dreiging beter te begrijpen.

De Nefilim-campagne vertrouwt, net als zoveel andere ransomware-aanvallen, op kwetsbare netwerken, zwakke wachtwoorden en een gebrek aan tweefactorauthenticatie. Volgens het advies richten de oplichters zich op organisaties die het Remote Desktop Protocol en Virtual Private Networks gebruiken zonder ze met de juiste authenticatie te beveiligen. Netwerken die de essentiële beveiligingspatches niet hebben ontvangen, staan ook op het menu van de hackers, en hoewel we het hebben over relatief eenvoudige fouten, is het aantal potentiële doelen zo groot dat de US Cybersecurity & Infrastructure Security Agency (CISA), die deel uitmaakt van het Department of Homeland Security, herhaalde de waarschuwingen van NZ-CERT.

Als ervaring echter iets te bieden heeft, zullen deze waarschuwingen nog steeds niet genoeg zijn om sysadmins over de hele wereld ertoe te brengen hun systemen correct in te stellen. Dit is verre van de eerste aanval die profiteert van een slechte netwerkconfiguratie en waarschijnlijk niet de laatste. Beveiligingsexperts waarschuwen gebruikers en bedrijven al een tijdje voor de gevaren, maar dit heeft duidelijk niet veel effect gehad. Het is echt jammer dat op dit moment niets erop wijst dat de situatie in de nabije toekomst zal verbeteren.