Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.
Wereldwijde cyberaanval
Vorige week vrijdag lanceerde de Russische hackersgroep REvil een wereldwijde supply chain aanval. Ze maakten daarbij misbruik van een kwetsbaarheid in Virtual Systems Administrator (VSA). Dat is software van het Amerikaanse beveiligingsbedrijf Kaseya dat gebruikt wordt om servers en computersystemen van klanten op afstand te beheren. Door deze zero day exploit konden hackers ransomware installeren bij bedrijven die gebruikmaken van deze software, zonder dat ze iets in de gaten hadden.
“Dit is een van de meest grootschalige, niet door een staat uitgevoerde, aanvallen die we ooit hebben gezien. Het lijkt puur de bedoeling [van de hackers, red.] om geld te verdienen”, zo zei Andrew Howard van het Zwitserse Kudelski Security over de aanval. Naar schatting zijn tussen de 800 en 1.500 bedrijven getroffen door de ketenaanval, zo zei Fred Voccola, CEO van Kaseya, eerder deze week. In totaal zijn er in 17 landen slachtoffers gevallen, waaronder in Nederland.
Beveiligingsspecialisten en ethische hackers uit ons land wisten de aanval op een haar na af te slaan. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, vertelden Wietse Boonstra en Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) deze week. De politie roept slachtoffers op om aangifte te doen, als ze dan niet al gedaan hebben. De politie hoopt zo meer te weten te komen over de werkwijze van REvil en de daders op te sporen.
Actualiteit volgen
Hackers en cybercriminelen spelen graag in op de actualiteit om slachtoffers te maken. Dat is nu, bijna een week na de wereldwijde aanval van Russische hackers, niet anders. Het Amerikaanse beveiligingsbedrijf Malwarebytes waarschuwt op Twitter voor een spamcampagne waarbij de opstellers nietsvermoedende slachtoffers proberen te overtuigen om een ‘beveiligingsupdate’ voor de software VSA te installeren.
A #malspam campaign is taking advantage of Kaseya VSA #ransomware attack to drop #CobaltStrike.
— Malwarebytes Threat Intelligence (@MBThreatIntel) July 6, 2021
It contains an attachment named "SecurityUpdates.exe" as well as a link pretending to be security update from Microsoft to patch Kaseya vulnerability! pic.twitter.com/0nIAOX786i
In de e-mail is een bijlage met de naam ‘SecurityUpdates.exe’ opgenomen, evenals een link naar een security update die zogenaamd afkomstig is van Microsoft. In werkelijkheid halen slachtoffers hiermee een Cobalt Strike payload binnen die een backdoor toevoegt aan het bedrijfsnetwerk. Zo kunnen hackers en cybercriminelen ongemerkt meekijken, data stelen en gijzelsoftware of andere malware installeren.
Cobalt Strike
Cobalt Strike is legitieme software waarmee cyberdreigingssimulaties nagebootst worden. Red Teams -medewerkers die de digitale verdediging van hun werkgever testen- en IT-medewerkers die pentests uitvoeren, gebruiken deze tool om servers en netwerken te testen op zwakheden. Op deze manier proberen ze beveiligingsrisico’s in kaart te brengen en oplossingen daarvoor aan te dragen.
Keerzijde is dat ook hackers Cobalt Strike gebruiken om cyberaanvallen uit te voeren. Met deze software proberen ze op afstand toegang te krijgen tot besmette computersystemen. Het doel is om bedrijfs- of privacygevoelige informatie te stelen of zogeheten second-stage malware payloads af te leveren. Cisco, een van de grootste aanbieders van tools om op een veilige en verantwoorde manier op afstand te kunnen werken, waarschuwde afgelopen jaar dat twee derde van alle ransomware-aanvallen (66 procent) plaatsvindt doordat de aanvallers vertrouwen op Cobalt Strike.
Spamcampagnes
Spamcampagnes om slachtoffers te maken zijn niets nieuws onder de zon. Vorig jaar bereikte Emotet ons land via malafide e-mailberichten. Doordat Emotet het adresboekje van slachtoffers bekeek, was het in staat om zichzelf te verspreiden. Daardoor leek het alsof de mail afkomstig was van een vertrouwd iemand.
In de betreffende e-mail zat een .docx-bestand als bijlage waaraan kwaadaardige macro’s waren toegevoegd. Slachtoffers die dit bestand openden, werden getrakteerd op nog meer malware, zoals een keylogger, spyware of ransomware.
FlutBot
Iets vergelijkbaars overkwam tienduizenden Nederlanders die het slachtoffer waren van FluBot. Zij ontvingen een sms-berichtje waarin stond dat er een pakketje voor hen in aantocht was. Om het pakketje te volgen moesten ze een applicatie downloaden. Dit was echter een kwaadaardige app die financiële en persoonlijke gegevens van gebruikers steelt. Wie FluBot had geïnstalleerd, kreeg het advies om zijn of haar smartphone terug te zetten naar de fabrieksinstellingen.
Hack The Box: Hoe een n00b zijn invite code kreeg
Een tijd geleden kreeg ik van een goede vriend van mij de tip om de documentaire 'Rats & Slaves' van NPO3 te bekijken. Kort samengevat gaat de documentaire over geïnfecteerde/gehackte computers van nietsvermoedende slachtoffers en hoe deze gehackte computers verkocht worden op het Darkweb door zogeheten 'RATters' (RAT staat voor Remote Acces Trojan). Deze gehackte computers worden vervolgens gebruikt om mensen te bespioneren voor de fun of om mensen af te persen (Ik raad je echt aan deze documentaire te kijken!).
AIVD en MIVD: VPN-gat misbruikt door staatshackers
De grote kwetsbaarheid in VPN-software van Pulse Secure, wat vorig jaar wereldwijde impact had, is niet alleen door cybercriminelen benut. Ook statelijke actoren hebben nuttig gebruik gemaakt van het beveiligignsgat. De Nederlandse inlichtingendiensten AIVD en MIVD hebben dit gesignaleerd, meldt minister Ferd Grapperhaus van Justitie en Veiligheid nu aan de Kamer.
De eenvoud van het hacken van een account en hoe jij je ertegen kunt beveiligen
De laatste tijd wordt er in de media steeds meer aandacht besteed aan bedrijven die slachtoffer zijn geworden van cyberaanvallen. In sommige van deze cyberaanvallen wordt ook data ontvreemd door de hacker en worden deze gegevens doorverkocht of publiekelijk kenbaar gemaakt. Doordat de gestolen data in veel gevallen ook gebruikersnamen met wachtwoorden bevat, wordt het steeds eenvoudiger om accounts te kraken.
WhatsApp populair dus ook intressant voor Hackers
WhatsApp lijkt goed beveiligd, maar hackers kunnen helaas nog redelijk makkelijk inbreken in je WhatsApp-account. Gelukkig kun je een extra beveiligingslaag toevoegen aan je WhatsApp. Zo werkt het!
Citrix-Lek en mogelijk 29 datalekken
Bedrijven die zijn geraakt door het Citrix-beveiligingslek, moeten oppassen dat hun website niet wordt misbruikt door hackers. Daarvoor waarschuwt het Nederlands Security Meldpunt. Hackers zijn na een hack van de Citrix-servers hoogstwaarschijnlijk in staat om de beveiligde verbinding van de website van het bedrijf over te nemen.
Hackers probeerden computersysteem Amphia Ziekenhuis in Breda binnen te komen
BREDA - Hackers hebben geprobeerd het computersysteem van het Amphia Ziekenhuis in Breda binnen te komen. Dit werd geprobeerd via het Citrix-systeem. Onlangs bleek dit systeem kwetsbaar te zijn voor aanvallen. Meerdere Brabantse gemeenten en zorginstellingen gebruiken Citrix, sommigen hebben het vanwege het risico op aanvallen preventief uitgeschakeld. Brabant Water besloot hetzelfde te doen na vragen van Omroep Brabant.