Aanvallers achter Petya-ransomware hebben inloggegevens van beheerder gestolen
De aanvallers achter de aanval met de Petya-ransomware hebben misbruik gemaakt van de inloggegevens van een beheerder van M.E.Doc. Dit gaf hen de mogelijkheid toegang tot een server van M.E.Docs en de mogelijkheid de ransomware te verspreiden naar klanten van M.E.Doc.
Dit meldt de Talos Security Intelligence and Research Group, de cyber threat intelligence divisie van Cisco. Talos heeft van M.E.Doc toegang gekregen tot de logbestanden en code van de server waarmee de ransomware verspreid blijkt te zijn. “Een onbekende actor heeft de inloggegevens van een beheerder bij M.E.Doc gestolen. Zij logde in op de servers, verkregen rootrechten en hebben het configuratiebestand voor de NGINX webservers aangepast. We zijn niet in staat geweest het nginx.conf bestand te herstellen, aangezien het is overschreven. Additionele logbestanden waren van belang om te begrijpen wat is gewijzigd”, schrijft Talos in een blogpost.
Verkeer omleiden naar malafide server
De NGINX server was volgens Talos geherconfigureerd zodat al het verkeer naar upd.me-doc.com.ua werd omgeleid naar een server die onder beheer stond van de aanvallers. Het gaat hierbij om een host in de OVH IP-space met het IP-adres 176.31.182.167. Vervolgonderzoek toonde aan dat deze server werd beheerd door een reseller, thcservers.com, en dat de server diezelfde dag om 7:46 PM UTC werd gewist”, meldt Talos.
Na de aanval zijn de wijzigingen in het configuratiebestand van de webserver van M.E.Doc ongedaan gemaakt. Logbestanden tonen aan dat de ransomware gedurende drie uur en twintig minuten naar klanten van M.E.Doc is verspreid. Hiervoor is gebruik gemaakt van een backdoor die aanwezig was in verschillende updates van M.E.Doc.
Supply-chain aanval
Talos stelt dat het gaat om een ‘supply-chain aanval’. Hierbij worden grote organisaties niet direct aangevallen, maar via vertrouwde hardware of software leveranciers. Talos waarschuwt bedrijven van iedere omvang en uit iedere geografische regio extra alert te zijn op dit soort aanvallen.
Dossiers
Meer over
Lees ook
Nieuwe Windows-malware kan machine onbruikbaar maken
Nieuwe Windows malware is opgedoken die zeer agressief te werk gaat. Indien anti-virussoftware op een besmette machine wordt aangetroffen wordt de machine onbruikbaar gemaakt. Hiervoor waarschuwt de Cisco Talos Security Intelligence and Research Group, de onderzoeksafdeling van Cisco. De Romertik-malware wordt verspreid via spam of phishingmailtjes. In de berichten wordt een ZIP-bestand meegestuurd met daarin een virus. Zodra deze malware is geïnstalleerd gaat de malware op zoek naar anti-virussoftware en bepaalt aan de hand van deze analyse zijn volgende stappen. Inloggegevens onderscheppen1
Zombie apps zijn beveiligingsrisico voor bedrijven
Zombie apps vormen een flink beveiligingsrisico’s voor bedrijven. Zombie apps zijn apps die nog wel op een smartphone of tablet van een werknemer staan, maar niet meer worden ondersteund door de ontwikkelaar. De apps krijgen geen updates meer en kunnen dan ook beveiligingsgaten bevatten. Hiervoor waarschuwt Domingo Guerra, directeur van Appthority1
Check Point neemt Advanced Threat Protection-specialist Lacoon Mobile Security over
Check Point maakt bekend het beveiligingsbedrijf Lacoon Mobile Security over te nemen. Lacoon richt zich op Advanced Threat Protection. Een officieel overnamebedrag is door de partijen niet bekend gemaakt. Eerder gingen echter geruchten dat Check Point 80 miljoen dollar zou over hebben voor Lacoon. Door de overname krijgt Check Point een oplossing1