De FBI breekt in bij bedrijven die kwetsbaar zijn om te voor komen dat cybercriminelen dit doen. Goed idee? Zou dit ook een goed voorbeeld kunnen zijn hoe de Nederlandse politie in de toekomst bedrijven moet beschermen? Wat is jou mening hier over?
De politie moet toestemming krijgen om bedrijven te hacken die kwetsbaar zijn. Om zo cybercriminelen voor te zijn en bedrijven proactief te beschermen.
FBI hackt kwetsbare bedrijven
De FBI heeft honderden besmette Microsoft Exchange-servers in de Verenigde Staten opgeschoond door aanwezige webshells op afstand te verwijderen, zo laat het Amerikaanse ministerie van Justitie weten. De autoriteiten hopen zo misbruik van de kwetsbare servers te voorkomen. De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht.
Zeroday
Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens.
Rechter heeft toestemming
Ook na het uitkomen van de beveiligingsupdates bleven aanvallers de kwetsbaarheden gebruiken om ongepatchte Exchange-servers met webshells te infecteren. "Veel eigenaren van besmette systemen hebben de webshells van duizenden servers verwijderd. Anderen zijn hier niet in geslaagd en honderden van dergelijke webshells zijn nog steeds actief", aldus het ministerie. De FBI vroeg een Amerikaanse rechter om toestemming om deze webshells van Exchange-servers in de VS te verwijderen.
Het gaat dan specifiek om de webshells van een groep die in een vroeg stadium van de Exchange-kwetsbaarheden misbruik maakte om toegang tot netwerken van Amerikaanse organisaties te krijgen, zo laat het ministerie verder weten. Deze webshells waren elk voorzien van een unieke pad- en bestandsnaam, waardoor het mogelijk lastiger was voor de servereigenaren om die te vinden en verwijderen.
Eigenaren worden achteraf geïnformeerd
De FBI is van plan om alle eigenaren en beheerders van de servers waar het de webshells van heeft verwijderd te informeren. In het geval contactgegevens openbaar zijn zal de Amerikaanse opsporingsdienst een e-mail sturen. In het geval de contactgegevens niet bekend zijn, zal de FBI de provider van de betreffende eigenaar informeren, die vervolgens weer de besmette en opgeschoonde klant kan waarschuwen.
Het ministerie voegt toe dat hoewel de webshells succesvol zijn verwijderd, de onderliggende kwetsbaarheden in de Exchange-server niet zijn gepatcht. Ook kan het zijn dat andere malware nog steeds op het systeem aanwezig is. Organisaties wordt dan ook gewezen op eerder advies van Microsoft om servers op malware te controleren.
Opnieuw twee ernstige kwetsbaarheden
Microsoft waarschuwt afgelopen dinsdag opnieuw organisaties voor twee kritieke kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller kwetsbare servers op afstand kan overnemen. Voor zover bekend is er nog geen misbruik van de beveiligingslekken gemaakt, maar Microsoft houdt er wel rekening mee dat dit zal gebeuren.
De kwetsbaarheden, aangeduid als CVE-2021-28480 en CVE-2021-28481, zijn beide op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De Amerikaanse geheime dienst NSA ontdekte en rapporteerde de beveiligingslekken aan Microsoft. Onderzoekers van het techbedrijf hadden de kwetsbaarheden echter onafhankelijk van de NSA ook al gevonden. Verdere details over de lekken zijn niet door Microsoft gegeven.
De kwetsbaarheden:
Meteen installeren
Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren, mede gezien de aanvallen die de afgelopen maanden op Exchange-servers plaatsvonden. "Recente gebeurtenissen hebben aangetoond dat securityhygiëne en patchmanagement belangrijker dan ooit tevoren zijn", aldus Microsoft. "Het is echt belangrijk dat onze klanten de laatste versie van de software gebruiken die up-to-date beveiligingsupdates heeft." Organisaties die van Exchange Online gebruikmaken zijn al beschermd en hoeven geen verdere actie te ondernemen.
Hacktool IM-RAT door politie offline gehaald
Bij een internationale politieactie tegen cybercrime zijn verkopers en gebruikers van een hacktool gearresteerd. Het gaat om de Imminent Monitor Remote Access Trojan (IM-RAT), waarmee cybercriminelen de computer van slachtoffers konden overnemen.
Chinese hackers meest actief in eerste helft 2019
Hackers in opdracht van de Chinese overheid zijn het meest actief op het wereldtoneel. Dit blijkt uit het meest recente OverWatch-rapport* van CrowdStrike® Inc. (NASDAQ: CRWD), leverancier van cloud-delivered endpoint protection. Kijkend naar alle data over cyberdreigingen, valt op dat de door China gesponsorde hackers zelfs even actief waren als de combinatie van hackers uit Rusland, Vietnam, Iran en Noord-Korea. De Chinese overheid heeft diverse industrieën als belangrijkste doelwit, zoals chemical, gaming, health care, hospitality, manufacturing, technology en telecom.
MKB nieuwe prooi Cybercriminelen?
Steeds meer MKB'ers gebruiken de cloud, maar dat maakt ze juist kwetsbaar voor hackers. Afzonderlijk zijn de MKB-bedrijven niet interessant, maar in de cloud valt er ineens meer te halen, omdat de bedrijven daar vaak gebundeld te vinden zijn.
Moeilijk te detecteren spionagechip
Het is inmiddels een jaar geleden dat 'Bloomberg Businessweek' onthulde dat China met behulp van een kleine chip infiltreerde bij Amerikaanse bedrijven waaronder Apple en Amazon. Op deze manier konden Chinese hackers deze netwerken bespioneren. De aanval van deze Chinese spionnen bereikt bijna 30 Amerikaanse bedrijven.
Gemeente Lochem door oog van de naald bij HACK
De gemeente Lochem is begin juni door het oog van de naald gegaan bij een hack. Die had volgens deskundige Brenno de Winter de gemeente tonnen kunnen kosten.
Cybersecurity onderzoekers ontdekken kwetsbaarheden in WhatsApp
Cybersecurity onderzoekers van Check Point, Dikla Barda, Roman Zaikin en Oded Vanunu, ontdekken kwetsbaarheden in WhatsApp waarmee hackers gesprekken over kunnen nemen.