Ransomware aanvallen hun spel _ en losgeld eisen
Het gemiddelde losgeld vraag is up-to-bijna 13.000 dollar, vergeleken met $6,700 slechts een paar maanden geleden.
Een ransomware bende inbreuk heeft gemaakt op de infrastructuur van ten minste drie managed service providers (msp ‘s) en het gebruik van remote management tools op hun dispossal, namelijk de Webroot SecureAnywhere console, implementeren ransomware op de msp’ s die de klanten van de systemen.
De ransomware infecties werden voor het eerst vandaag gemeld in een Reddit deel gewijd aan MSPs — bedrijven die remote IT-services en-ondersteuning aan bedrijven over de hele wereld.
Kyle Hanslovan, mede-oprichter en CEO van Jagerin Lab, was online en hielp een aantal van de getroffen MSPs onderzoeken van de incidenten.
Hackers kreeg in via RDP
Hanslovan zei hackers geschonden MSPs via blootgesteld RDP (Remote Desktop-Eindpunten), verhoogde bevoegdheden in gevaar gebrachte systemen en handmatig verwijderd AV-producten, zoals ESET en Webroot.
In de volgende fase van de aanval, de hackers gezocht voor accounts voor Webroot SecureAnywhere, remote management software (console) gebruikt door msp ‘ s om op afstand te beheren gelegen werkstations in het netwerk van hun klanten).
Volgens Hanslovan, de hackers gebruikt de console voor het uitvoeren van een Powershell script op externe werkstations; script gedownload en geïnstalleerd de Sodinokibi ransomware.
Het Kostuum Lab CEO zei ten minste drie MSPs was gehackt op deze manier. Sommige Reddit gebruikers ook gemeld dat in sommige gevallen, hackers kunnen ook gebruikt worden de Kaseya-VSA remote management console, maar dit is nooit officieel bevestigd.
“Twee bedrijven vermeld alleen de hosts draaien Webroot werden besmet,” Hanslovan zei. “Gezien de Webroot management console kunnen beheerders op afstand downloaden en uitvoeren van bestanden naar de eindpunten, lijkt dit een plausibele aanval.”
Webroot zet 2FA voor SecureAnywhere accounts
Later op de dag, Webroot begon geforceerd inschakelen twee-factor authenticatie (2FA) voor SecureAnywhere rekeningen, volgens een e-mail Hanslovan ontvangen, in de hoop om te voorkomen dat hackers met behulp van een andere mogelijk gekaapte accounts implementeren van nieuwe ransomware gedurende de dag.
SecureAnywhere ondersteunt 2FA, maar de functie is niet standaard ingeschakeld.
“Onlangs zijn de Webroot Geavanceerde Malware Removal team ontdekt dat een klein aantal klanten werden beïnvloed door een bedreiging acteur gebruik te maken van een combinatie van klanten’ zwakke cyber hygiëne praktijken rond authenticatie en RDP,” Chad Bacher, SVP van Producten, WEBROOT, een Carbonite bedrijf, vertelde ZDNet via e-mail.
“Om te zorgen voor de beste bescherming voor de hele Webroot klant gemeenschap, besloten we dat het tijd is om twee-factor authenticatie verplicht. Dit hebben We gedaan door het uitvoeren van een console afmelden en software-update de ochtend van 20 juni,” voegde hij eraan toe.
“We weten allemaal dat de twee-factor authenticatie (2FA) is een cyber hygiëne beste praktijken, en we hebben aangemoedigd klanten gebruik te maken van de Webroot Management Console ingebouwde 2FA voor bepaalde tijd. We zijn altijd nauw toezicht op de bedreiging van het milieu, en zal blijven nemen om proactieve maatregelen te nemen zoals deze te voorzien van de best mogelijke bescherming voor klanten.”
Afbeelding: Kyle Hanslovan
De Sodinokibi ransomware is een relatief nieuwe ransomware stam, ontdekt in eind April. Op het moment, een bedreiging acteur werd met behulp van een Oracle WebLogic zero-day hack in bedrijfsnetwerken en implementeren van de ransomware.
Vandaag incident is ook de tweede grote golf van aanvallen tijdens die hackers misbruikt msp ‘ s en hun remote management tools te implementeren ransomware op hun klanten en hun netwerken.
Het eerste incident gebeurde medio februari als een hacker groep gebruikt kwetsbaarheden in de gebruikte MSP tools voor het implementeren van de GandCrab ransomware op klanten werkstations.
Toevallig, op het moment dat dit incident werd uitvoerig op Reddit, lokale media in Roemenië werd melden dat vijf ziekenhuizen waren geïnfecteerd met ransomware in Boekarest, de hoofdstad van het land. Er is echter geen bewijs dat de twee gebeurtenissen met elkaar verbonden zijn, buiten de infectie termijn.
Artikel bijgewerkt met Webroot verklaring.
Gerelateerde malware en cybercriminaliteit dekking:
Nieuwe Echobot malware is een allegaartje van vulnerabilitiesFlorida stad betaalt $600.000, – bij aan ransomware bende om de gegevens backRussian APT gehackt Iraanse APT-infrastructuur terug in 2017Mysterious Iraanse groep is het hacken van het DNA sequencersNew Plurox malware is een backdoor, cryptominer, en een worm, allemaal verpakt in oneMicrosoft waarschuwt Azure klanten van Exim worm Meer dan 3B valse e-mails verzonden per dag, zoals phishing-aanvallen aanhouden TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters