Waarom ransomware een groot cyberbeveiligingsprobleem is en wat er moet worden gedaan om het te stoppen Bekijk nu
Cybercriminelen maken misbruik van Windows PrintNightmare-kwetsbaarheden in hun pogingen om slachtoffers te infecteren met ransomware – en het aantal ransomware-groepen dat probeert te profiteren van ongepatchte netwerken zal waarschijnlijk groeien.
De kwetsbaarheden voor het uitvoeren van externe code (CVE-2021-34527 en CVE-2021-1675) in Windows Print Spooler – een service die standaard is ingeschakeld in alle Windows-clients en wordt gebruikt om gegevens tussen apparaten te kopiëren om afdruktaken te beheren – stellen aanvallers in staat willekeurige code uit te voeren , waardoor ze programma's kunnen installeren, gegevens kunnen wijzigen, wijzigen en verwijderen, nieuwe accounts met volledige gebruikersrechten kunnen maken en zich lateraal door netwerken kunnen verplaatsen.
Nu profiteren ransomwarebendes van PrintNightmare om netwerken te compromitteren, bestanden en servers te versleutelen en van slachtoffers betaling te eisen voor een decoderingssleutel.
ZIE: Een winnende strategie voor cyberbeveiliging (ZDNet speciaal rapport)
Een van hen is Vice Society, een relatief nieuwe speler op het gebied van ransomware die voor het eerst verscheen in juni en die door mensen bediende campagnes voert tegen doelwitten. Vice Society staat erom bekend snel nieuwe beveiligingsproblemen te misbruiken om ransomware-aanvallen te helpen en, volgens cybersecurity-onderzoekers van Cisco Talos, hebben ze PrintNightmare toegevoegd aan hun arsenaal aan tools voor het compromitteren van netwerken.
Zoals veel cybercriminele ransomware-groepen, maakt Vice Society gebruik van dubbele afpersingsaanvallen, waarbij gegevens van slachtoffers worden gestolen en wordt gedreigd deze te publiceren als het losgeld niet wordt betaald. Volgens Cisco Talos heeft de groep zich vooral gericht op kleine en middelgrote slachtoffers, met name scholen en andere onderwijsinstellingen.
De alomtegenwoordige aard van Windows-systemen in deze omgevingen betekent dat Vice Society PrintNightmare-kwetsbaarheden kan gebruiken als er geen patches zijn toegepast, om code uit te voeren, persistentie op netwerken te behouden en ransomware af te leveren.
“Het gebruik van de kwetsbaarheid die bekend staat als PrintNightmare laat zien dat kwaadwillenden goed opletten en snel nieuwe tools zullen gebruiken die ze nuttig vinden voor verschillende doeleinden tijdens hun aanvallen”, schreven Cisco Talos-onderzoekers in een blogpost.
“Meerdere verschillende bedreigingsactoren profiteren nu van PrintNightmare, en deze acceptatie zal waarschijnlijk blijven toenemen zolang het effectief is”.
Een andere ransomwaregroep die actief misbruik maakt van de PrintNightmare-kwetsbaarheden is Magniber. Deze ransomware-operatie is actief en introduceert sinds 2017 nieuwe functies en aanvalsmethoden. Magniber gebruikte aanvankelijk malvertising om aanvallen te verspreiden, voordat hij profiteerde van niet-gepatchte beveiligingsproblemen in software, waaronder Internet Explorer en Flash. De meeste Magniber-campagnes zijn gericht op Zuid-Korea.
Volgens cybersecurity-onderzoekers van Crowdstrike gebruikt Magniber-ransomware PrintNightmare nu in campagnes, waarmee opnieuw wordt aangetoond hoe ransomware-bendes en andere cybercriminelen proberen te profiteren van nieuw onthulde kwetsbaarheden om aanvallen te ondersteunen voordat netwerkoperators de patch hebben toegepast.
ZIE: Deze nieuwe phishing-aanval is 'slinker dan normaal', waarschuwt Microsoft
Het is waarschijnlijk dat andere ransomware-groepen en kwaadwillende hackcampagnes proberen PrintNightmare te misbruiken, dus de beste vorm van verdediging tegen de kwetsbaarheid is ervoor te zorgen dat systemen zo snel mogelijk worden gepatcht.
“CrowdStrike schat dat de PrintNightmare-kwetsbaarheid in combinatie met de inzet van ransomware waarschijnlijk zal blijven worden uitgebuit door andere dreigingsactoren”, zegt Liviu Arsene, directeur van dreigingsonderzoek en rapportage bij Crowdstrike.
“We moedigen organisaties aan om altijd de nieuwste patches en beveiligingsupdates toe te passen om bekende kwetsbaarheden te verminderen en zich te houden aan best practices op het gebied van beveiliging om hun beveiligingshouding tegen bedreigingen en geavanceerde kwaadwillenden te versterken”, voegde hij eraan toe.
MEER OVER CYBERVEILIGHEID
Deze ene wijziging kan uw systemen beschermen tegen aanvallen. Dus waarom doen niet meer bedrijven het?Deze grote ransomware-aanval werd op het laatste moment verijdeld. Dit is hoe ze het ontdektenNieuwe DOJ-taskforce om ransomware aan te pakken, zegt rapportRansomware: dit zijn de twee meest voorkomende manieren waarop hackers je netwerk binnendringenHebben we de piek van ransomware bereikt? Hoe het grootste beveiligingsprobleem van internet is gegroeid en wat er daarna gebeurt
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 