Ransomwareattack upgrade
Net als alles andere in de IT wereld wordt geupgrade zijn nu ook de ransomware attacks "verbeterd". Met name op het gebied van planning en slachtoffer selectie. Waar voorheen met hagel geschoten werd in de hoop dat iemand vroeger of later een link aan klikt of een bijgevoegde pdf of doc bestand opende in een email waardoor de desbetreffende computer en vervolgens het netwerk waarin deze zich bevond versleuteld worden.
Daarna wordt de geïnfecteerde gebruiker verzocht binnen een bepaalde tijd een som in Bitcoin te storten met de beloofde dat de gebruiker daarna de versleutelingssleutel zou ontvangen.
In de huidige situatie gaan de boeven minder direct aan de slag, de aanval wordt nu strategisch gepland en de slachtoffers worden geselecteerd op hun eventuele waarde. Waarde kan in deze zijn informatie of geld.
Nu worden eerst computers / gebruikers geharvest. Dit houdt in dat infecties verzameld worden en niet meteen direct aangevallen worden maar geïnfecteerd met malware en "handige tools". Bijvoorbeeld een programma om het wachtwoord van email accounts uit te lezen.
Vervolgens wordt de email van deze gebruiker geëxporteerd en slachtoffers met een hoge waarde geselecteerd. Dit process heet Outlook harvesting. Dit heeft als "voordeel" dat de aanvaller over email templates (opmaak van emails) beschikt en "hoogwaardige" contacten uit kan filteren.
Voorbeeld: Jan heeft een bedrijf dat kantoorbenodigdheden verkoopt onder meer aan meerdere gemeentes. Jan heeft afgelopen vrijdag aan het eind van de dag de bijlage van een email geopend, ogenschijnlijk gebeurt er niets maar zijn computer is nu wel geïnfecteerd. In de email van Jan vinden de aanvallers een bestelling van Karin, die bij de Gemeente "Achterdedijk" in de inkoop werkt.
De bestel mail van Karin wordt nu gebruikt als template. Zij ontvangt "haar" mail als reply met daarin "het verzoek van Jan" om de bijlage te openen om de opdrachtbevestiging te controleren. Karin ziet "haar eigen mail" en voert de instructies uit. Op het moment dat Karin dit doet is haar computer geïnfecteerd. Maar nu komt deel twee van de vernieuwing: in plaats van het netwerk direct aan te vallen worden eerst tools geïnstalleerd (Trickbot bijvoorbeeld). Vervolgens wordt de Active Directory gecompromitteerd. De aanvallers onderzoeken eerst het netwerk en direct benaderbaar backup servers worden geïnfecteerd of onbruikbaar gemaakt.
De laatste stap is dan het infecteren van het gehele netwerk met ransomware.
Als er geen offline backup beschikbaar is bent uw op dit punt de pineut. Als er wel een offline backup beschikbaar is dan zijn uw ITers nu een paar dagen, of, afhankelijk van de grootte van het netwerk, een paar weken bezig om ALLES opnieuw te installeren.
De vernieuwing zit dus voornamelijk in de social engineering: maatwerk emails om de gebruiker te verleiden een bijlage te openen. En het geduld om eerst alle in het netwerk zichtbare backup faciliteiten onbruikbaar te maken.
Wat te doen?
Controleer altijd reply adressen van email. Lijkt het niet te kloppen? Bel dan de afzender om te controleren of de mail echt is.
Click NIET op een .doc of .pdf die op .pdf.exe of .doc.exe heet.
Voer nooit een macro uit in een vreemd document.