Breaking News

•••  All important news related to new attacks and see the solutions we can offer you  •••

18/01/2022

Microsoft: Oekraïense organisaties doelwit van malware die systemen saboteert

Lees het originele artikel hier
Cyber Defense

Meerdere Oekraïense organisaties en overheidsinstanties zijn doelwit van malware geworden die zich voordoet als ransomware, maar in werkelijkheid bestanden en de Master Boot Record (MBR) van systemen overschrijft waardoor de computers niet meer opstarten, zo stelt Microsoft op basis van eigen onderzoek. Volgens het techbedrijf is het doel van de aanvallers dan ook sabotage in plaats van het verkrijgen van losgeld.

De eerste aanvallen met de malware werden op 13 januari waargenomen. Hoe de malware wordt verspreid laat Microsoft niet weten. Eenmaal actief overschrijft de malware de MBR en laat een zogenaamde losgeldboodschap zien. Daarin wordt gesteld dat het slachtoffer losgeld moet betalen om zijn systeem te herstellen. Er ontbreekt echter een herstelmechanisme, waardoor het niet mogelijk is om de MBR te herstellen, ook al wordt het losgeld betaald.

De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten. Nadat de MBR is overschreven wordt er aanvullende malware gedownload die allerlei bestanden overschrijft waardoor die onbruikbaar worden. Microsoft heeft op tientallen systemen de malware aangetroffen, maar vermoedt dat het werkelijke aantal slachtoffers hoger ligt.

"Gegeven de schaal van de waargenomen aanvallen kan Microsoft de bedoeling van de destructieve acties niet bepalen, maar denkt dat die een verhoogd risico voor alle overheidsinstanties, non-profitorganisaties en bedrijven met systemen in Oekraïne vormen", aldus Microsoft. Dat roept organisaties op om meteen een onderzoek binnen hun eigen omgeving uit te voeren en verdedigingsmaatregelen toe te passen, waaronder het inschakelen van multifactorauthenticatie.

Neem contact op met onze experts om te kijken hoe we u kunnen helpen uw omgeving te beveiligen

Contact
14/01/2022

Versleutelde maildienst ProtonMail was slachtoffer van DKIM replay-aanval

Lees het originele artikel hier
Cyber Defense

Versleutelde e-maildienst ProtonMail was vorige maand slachtoffer van een DKIM replay-aanval die er uiteindelijk voor zorgde dat legitieme e-mail van gebruikers door Gmail voor spam werd aangezien. Volgens ProtonMail was het slachtoffer van een DKIM replay-aanval waarbij er misbruik werd gemaakt van een kwetsbaarheid in het anti-spamsysteem van Gmail.

Bij de replay-aanval van december werd één enkel spambericht verstuurd via ProtonMail opnieuw verstuurd naar Gmail-gebruikers om zo de reputatie van ProtonMail te misbruiken en Googles anti-spammaatregelen te omzeilen. Op een gegeven moment was 98 procent van de e-mails die Gmail ontving en claimden van ProtonMail afkomstig te zijn in werkelijkheid spam. "Dit hield in dat de spammers een hoeveelheid e-mail verstuurden die gelijkstond aan vijftig keer het normale uitgaande verkeer naar Google", aldus Bart Butler van ProtonMail.

Met DKIM kan de domeinnaamhouder aangeven met welke sleutel e-mailberichten moeten zijn gesigneerd. Verzendende mailservers ondertekenen alle uitgaande e-mail namens deze domeinnaam met deze sleutel. Ontvangende mailservers kunnen met behulp van de publieke sleutel in het DKIM-record controleren of de e-mail door een geautoriseerde partij is verzonden.

"Maar het DKIM-domein in de digitale handtekening kan verschillen van de degene in de From-header in het bericht zelf. Wanneer de DKIM-handtekening is geverifieerd, bevestigt dit alleen dat het bericht via de mailserver is gegaan van het signerende domein en sindsdien niet is aangepast, niet dat het bericht afkomstig is van waar het beweert vandaan te komen", zegt Butler.

Om te controleren dat het domein in de From-header het bericht verstuurde wordt DMARC (Domain-based Message Authentication, Reporting & Conformance) gebruikt. Om aan de DMARC-controle te voldoen is er het Sender Policy Framework (SPF) of DKIM. Dat de DKIM replay-aanval werkte en Gmail de opnieuw verstuurde spamberichten als "geauthenticeerd" beschouwde kwam door het feit dat DMARC een check van DKIM of SPF vereist, niet van beide, gaat Butler verder.

"Het opnieuw verstuurde bericht had een geldige DKIM-handtekening van protonmail.com, wat inhield dat het aan DMARC voldeed. Dit bericht werd genoeg keren opnieuw verstuurd dat het de domeinreputatie van protonmail.com binnen Gmail beïnvloedde, en uiteindelijk laag genoeg werd dat het de bezorging van legitieme mail raakte."

Hierop besloot ProtonMail de DKIM-keys te roteren om zo te voorkomen dat de spamberichten door de DKIM-controle kwamen. Tevens werd Google gewaarschuwd dat een oplossing aan het spamfilter van Gmail toevoegde, waardoor legitieme e-mails weer aankwamen. Afsluitend geeft Butler verschillende adviezen, zoals het instellen van SPF, DKIM en DMARC en het regelmatig roteren van DKIM-keys.

Neem contact op om te zien hoe u uw omgeving kunt beveiligen tegen dergelijke aanvallen

Contact
14/01/2022

Game Mania waarschuwt klanten na ransomware-aanval voor datalek

Lees het originele artikel hier
Cyber Defense

Gamewinkelketen Game Mania heeft klanten gewaarschuwd voor een datalek nadat het bedrijf afgelopen maandag slachtoffer van een ransomware-aanval werd. Daarbij kregen de aanvallers toegang tot een server met klantgegevens, waaronder naam, adres, e-mailadres en telefoonnummer. Wachtwoorden en betaalgegevens zijn niet bij de aanval gecompromitteerd.

Na de aanval werden alle getroffen systemen offline gehaald. "De cyberveiligheid van onze klanten en hun data is voor ons een topprioriteit. We werken er dan ook hard aan om de situatie zo snel mogelijk te herstellen", aldus de winkelketen. Die zegt dat een externe veiligheidsexpert de situatie onderzoek, alsmede de infrastructuur en bestaande veiligheidsprocedures van Game Mania.

"Eens de situatie hersteld, zullen we de aanbevelingen van onze partner implementeren en gepaste maatregelen nemen om de cyberveiligheid van Game Mania verder te optimaliseren", staat in een verklaring van het bedrijf. Het datalek is inmiddels bij de Autoriteit Persoonsgegevens en de Belgische Gegevensbeschermingsautoriteit gemeld.

Neem contact met ons op voor advies hoe u zelf uw omgevingen kunt valideren en beveiligen

Contact
Load more