Hackers proberen munt te slaan uit de crisis rondom de VSA-software van ICT-dienstverlener Kaseya. Ze hebben een spamcampagne opgezet waarbij ze potentiële slachtoffers proberen over te halen om een beveiligingsupdate te installeren die de kwetsbaarheid in VSA verhelpt. In werkelijkheid halen nietsvermoedende slachtoffers een Cobalt Strike payload binnen die een achterdeur toevoegt aan het bedrijfsnetwerk. Op deze manier proberen ze het netwerk binnen te glippen en malware te installeren.
Wereldwijde cyberaanval
Vorige week vrijdag lanceerde de Russische hackersgroep REvil een wereldwijde supply chain aanval. Ze maakten daarbij misbruik van een kwetsbaarheid in Virtual Systems Administrator (VSA). Dat is software van het Amerikaanse beveiligingsbedrijf Kaseya dat gebruikt wordt om servers en computersystemen van klanten op afstand te beheren. Door deze zero day exploit konden hackers ransomware installeren bij bedrijven die gebruikmaken van deze software, zonder dat ze iets in de gaten hadden.
“Dit is een van de meest grootschalige, niet door een staat uitgevoerde, aanvallen die we ooit hebben gezien. Het lijkt puur de bedoeling [van de hackers, red.] om geld te verdienen”, zo zei Andrew Howard van het Zwitserse Kudelski Security over de aanval. Naar schatting zijn tussen de 800 en 1.500 bedrijven getroffen door de ketenaanval, zo zei Fred Voccola, CEO van Kaseya, eerder deze week. In totaal zijn er in 17 landen slachtoffers gevallen, waaronder in Nederland.
Beveiligingsspecialisten en ethische hackers uit ons land wisten de aanval op een haar na af te slaan. “Als we een beetje meer tijd hadden gehad, was het ons gelukt”, vertelden Wietse Boonstra en Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) deze week. De politie roept slachtoffers op om aangifte te doen, als ze dan niet al gedaan hebben. De politie hoopt zo meer te weten te komen over de werkwijze van REvil en de daders op te sporen.
Actualiteit volgen
Hackers en cybercriminelen spelen graag in op de actualiteit om slachtoffers te maken. Dat is nu, bijna een week na de wereldwijde aanval van Russische hackers, niet anders. Het Amerikaanse beveiligingsbedrijf Malwarebytes waarschuwt op Twitter voor een spamcampagne waarbij de opstellers nietsvermoedende slachtoffers proberen te overtuigen om een ‘beveiligingsupdate’ voor de software VSA te installeren.
A #malspam campaign is taking advantage of Kaseya VSA #ransomware attack to drop #CobaltStrike.
— Malwarebytes Threat Intelligence (@MBThreatIntel) July 6, 2021
It contains an attachment named "SecurityUpdates.exe" as well as a link pretending to be security update from Microsoft to patch Kaseya vulnerability! pic.twitter.com/0nIAOX786i
In de e-mail is een bijlage met de naam ‘SecurityUpdates.exe’ opgenomen, evenals een link naar een security update die zogenaamd afkomstig is van Microsoft. In werkelijkheid halen slachtoffers hiermee een Cobalt Strike payload binnen die een backdoor toevoegt aan het bedrijfsnetwerk. Zo kunnen hackers en cybercriminelen ongemerkt meekijken, data stelen en gijzelsoftware of andere malware installeren.
Cobalt Strike
Cobalt Strike is legitieme software waarmee cyberdreigingssimulaties nagebootst worden. Red Teams -medewerkers die de digitale verdediging van hun werkgever testen- en IT-medewerkers die pentests uitvoeren, gebruiken deze tool om servers en netwerken te testen op zwakheden. Op deze manier proberen ze beveiligingsrisico’s in kaart te brengen en oplossingen daarvoor aan te dragen.
Keerzijde is dat ook hackers Cobalt Strike gebruiken om cyberaanvallen uit te voeren. Met deze software proberen ze op afstand toegang te krijgen tot besmette computersystemen. Het doel is om bedrijfs- of privacygevoelige informatie te stelen of zogeheten second-stage malware payloads af te leveren. Cisco, een van de grootste aanbieders van tools om op een veilige en verantwoorde manier op afstand te kunnen werken, waarschuwde afgelopen jaar dat twee derde van alle ransomware-aanvallen (66 procent) plaatsvindt doordat de aanvallers vertrouwen op Cobalt Strike.
Spamcampagnes
Spamcampagnes om slachtoffers te maken zijn niets nieuws onder de zon. Vorig jaar bereikte Emotet ons land via malafide e-mailberichten. Doordat Emotet het adresboekje van slachtoffers bekeek, was het in staat om zichzelf te verspreiden. Daardoor leek het alsof de mail afkomstig was van een vertrouwd iemand.
In de betreffende e-mail zat een .docx-bestand als bijlage waaraan kwaadaardige macro’s waren toegevoegd. Slachtoffers die dit bestand openden, werden getrakteerd op nog meer malware, zoals een keylogger, spyware of ransomware.
FlutBot
Iets vergelijkbaars overkwam tienduizenden Nederlanders die het slachtoffer waren van FluBot. Zij ontvingen een sms-berichtje waarin stond dat er een pakketje voor hen in aantocht was. Om het pakketje te volgen moesten ze een applicatie downloaden. Dit was echter een kwaadaardige app die financiële en persoonlijke gegevens van gebruikers steelt. Wie FluBot had geïnstalleerd, kreeg het advies om zijn of haar smartphone terug te zetten naar de fabrieksinstellingen.
Het Wachtwoorden als ‘beveiliging’
Een op de vijf Nederlanders gebruikt de naam van hun huisdier, kind of favoriete voetbalclub in hun wachtwoorden. Dit blijkt uit een onderzoek van Beyond Identity. Voor dit onderzoek werden duizend Nederlanders ondervraagd naar de manier waarop ze wachtwoorden inzetten. Hun antwoorden brengen veel voorkomende valkuilen rond het gebruik van wachtwoorden aan het licht.
Cybercriminelen stelen persoonlijke gegevens klanten General Motors
Hackers zijn erin geslaagd om toegang te krijgen tot zo’n 5.000 accounts van klanten van 'General Motors'. Daarbij zijn persoonsgegevens buitgemaakt als namen en telefoonnummers. Het bedrijf adviseert klanten om hun wachtwoord te resetten.
Hoe Instagram cybercriminelen met "gijzelvideo's" je contacten oplichten
Je krijgt op Instagram een video waarin één van je contacten een investering aanprijst: 'Hé vriend, beleg net als ik in déze cryptomunt en je wordt steenrijk!' Je gelooft het, omdat het echt jouw vriend op de video is. In werkelijkheid is het account gehackt en proberen oplichters je in de val te lokken.
Je naam, adres en telefoonnummer op straat? Dit kunnen hackers met die persoonsgegevens
Vorige maand zijn acht woningcorporaties gehackt door Russen. Veel gegevens van huurders liggen daarmee op straat, zoals namen, adressen, telefoonnummers en bankrekeningnummers. Wat cybercriminelen daar mee kunnen? Meer dan je denkt, zeggen experts.
We hebben een ongebruikelijke aanmeldpoging opgemerkt op een apparaat of locatie die je normaal gesproken niet gebruikt. Was jij dit?
De meeste online diensten hebben een ingebouwd beveiligingssysteem dat u waarschuwt wanneer er “ongewone” activiteit op uw account wordt gedetecteerd. Zo sturen diensten bijvoorbeeld meldingen over pogingen tot het opnieuw instellen van het telefoonnummer en e-mailadres die aan de account zijn gekoppeld, of het wachtwoord. Toen dit soort berichten gemeengoed werd, probeerden ondernemende cybercriminelen natuurlijk dit mechanisme na te bootsen om gebruikers aan te vallen.
Lichaamsfuncties meten via smart watches, smart bands en slimme pleisters is dat veilig?
De versnelde digitalisering van de zorgsector met onder meer monitoring op afstand brengt nieuwe veiligheidsrisico’s met zich mee. Alle Nederlandse zorgaanbieders hebben de afgelopen twee jaar vanwege de coronapandemie e-health diensten uitgerold. Bij 70 procent hiervan werden 'wearable devices' ingezet. Security-aanbieder Kaspersky stelt dat er steeds meer kwetsbaarheden in deze devices zitten die het cybercriminelen mogelijk maken data te stelen of devices over te nemen.