Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

24/10/2022

FBI waarschuwt ziekenhuizen voor ransomware-aanvallen via vpn-servers

Read the original article here
Cyber Defense

De FBI, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Amerikaanse ministerie van Volksgezondheid hebben ziekenhuizen en andere zorginstellingen in de Verenigde Staten gewaarschuwd voor een ransomwaregroep die door middel van vpn-servers toegang tot netwerken weet te krijgen. De groep wordt Daixin Team genoemd en zou sinds juni van dit jaar actief zijn (pdf). Zo werden vorige maand nog meerdere Amerikaanse ziekenhuizen slachtoffer van de ransomwaregroep.

De aanvallers maken gebruik van vpn-servers om toegang tot de netwerken van hun slachtoffers te krijgen, aldus de FBI. Daarbij wordt misbruik gemaakt van bekende kwetsbaarheden in vpn-software en gestolen vpn-inloggegevens. Zo wisten de aanvallers bij in ieder geval één aanval op een legacy vpn-server in te loggen die geen gebruik van multifactorauthenticatie (MFA) maakte. Vermoedelijk zijn de vpn-inloggegevens door middel van phishing of malafide e-mailbijlages gestolen.

Zodra er toegang tot de vpn-server is verkregen gebruiken de aanvallers SSH (secure shell) en RDP (remote desktop protocol) om zich lateraal door het netwerk te bewegen. Door het toepassen van technieken als credential dumping en pass the hash proberen de aanvallers controle over accounts met hoge rechten te krijgen. Via deze accounts wordt er vervolgens op VMware vCenter-servers ingelogd en accountwachtwoorden voor ESXi-servers in het netwerk gereset. Via SSH maken de aanvallers verbinding met de ESXi-servers waar ze de ransomware op uitrollen. Ook stelen de aanvallers patiëntgegevens.

De versleutelde servers worden onder andere gebruikt voor het aanbieden van zorgdiensten, zoals elektronische patiëntendossiers, diagnostische diensten, scans en intranetten. Wanneer de getroffen ziekenhuizen en zorginstellingen het losgeld niet willen betalen dreigen de aanvallers de gestolen patiëntgegevens op internet te zetten. Om de aanvallen tegen te gaan worden zorginstanties aangeraden om beveiligingsupdates te installeren, MFA voor zoveel mogelijk diensten in te stellen en het personeel te trainen om phishingaanvallen te herkennen en rapporteren.

Neem contact met ons op, wij kunnen u met de Cymulate oplossing niet alleen helpen uw personeel te trainen maar ook gelijk uw security controls continue te valideren

Contact
20/10/2022

Nederlandse gemeenten melden driehonderd cyberincidenten per jaar

Read the original article here
Cyber Defense

Nederlandse gemeenten melden driehonderd keer per jaar een een cyberincident bij de Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG). Het meestvoorkomende probleem is ongeauthenticeerde toegang tot informatie, gevolgd door misbruik van kwetsbaarheden en phishing. Dat laat de IBD tegenover Security.NL weten.

De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. Drieduizend keer per jaar wordt de organisatie door gemeenten benaderd met vragen over security en privacy. In tien procent van de gevallen betreft het een hulp- of coördinatievraag vanwege een cyberincident. Het gaat als eerste om ongeauthenticeerde toegang tot informatie. Inbraken op systemen en accounts volgen op een tweede plek. Het gaat dan met name om misbruik van kwetsbaarheden.

In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten stelt de IBD dat er vorig jaar 90 kwetsbaarheden met een hoge kans op misbruik en hoge mogelijke impact waren, tegenover 45 een jaar eerder. Verder krijgen Nederlandse gemeente redelijk vaak met phishing te maken. De IBD meldt ook dat het de afgelopen twee jaar steeds meer meldingen van situaties ontving waar gemeentelijke processen langdurig(er) verstoord zijn als gevolg van ransomware. Het gaat dan ook om aanvallen op leveranciers of andere derde partijen die gevolgen voor de gemeente hebben. Bekende voorbeelden zijn de gemeenten Buren en Hof van Twente.

Basismaatregelen

Om onder andere ransomware-aanvallen te voorkomen is het volgens de IBD belangrijk dat gemeenten hun basismaatregelen op orde hebben. Het gaat dan om het up-to-date houden van software, verplicht gebruik van tweefactorauthenticatie (2FA), netwerkmonitoring, netwerksegmentatie, werkende back-ups en het oefenen met uitval van systemen en andere incidenten. "Het grootste deel van de (ransomware)incidenten is terug te voeren op het ontbreken van één of meerdere van deze maatregelen", aldus het Dreigingsbeeld.

Valideer zelf uw geimplementeerd beveiligingsmaatregelen. Onze experts kunnen u uitleggen hoe

Neem contact op
17/10/2022

Microsoft meldt gerichte aanvallen met nieuwe Prestige-ransomware

Read the original article here
Cyber Defense

Verschillende organisaties in Oekraïne en Polen zijn het doelwit geworden van gerichte aanvallen met een nieuw ransomware-exemplaar genaamd Prestige, zo claimt Microsoft. De aanval vond op 11 oktober plaats, waarbij alle slachtoffers binnen een uur van elkaar werden getroffen. Volgens Microsoft verschilt deze ransomware-aanval van andere aanvallen.

De getroffen organisaties zijn actief in de transportsector en gerelateerde logistieke industrieën in Oekraïne en Polen. Microsoft stelt dat er een overlap is met organisaties die eerder dit jaar slachtoffer van aanvallen met wiper-malware werden. Hoe de aanvallers toegang tot de netwerken van de getroffen organisaties wisten te krijgen is niet bekend. Eenmaal actief verwijderden de aanvallers de back-upcatalogus van het systeem, alsmede alle volume shadow copies. Dit moet herstel van versleutelde bestanden voorkomen.

Bij de aanvallen maakten de aanvallers onder andere gebruik van RemoteExec en Impacket WMIexec voor het op afstand uitvoeren van code. Organisaties die zich tegen de aanvallen willen beschermen wordt onder andere aangeraden om processen die afkomstig zijn van PSExec- en WMI-commando's te blokkeren, om zo laterale bewegingen via het WMIexec-onderdeel van Impacket te stoppen. Verder wordt het inschakelen van de Tamper protection van Microsoft Defender geadviseerd.

Wilt u zelf testen welke van uw systemen kwetsbaar zijn? En ook daadwerkelijk aangevallen kunnen worden? Neem contact met ons op, wij kunnen u de middelen bieden om dit zelf te testen.

contact
Load more