Ransomwareprobleem gaat nieuwe fase in

Ransomware is niet langer afhankelijk van een naïeve medewerker die per ongeluk een gemanipuleerde site bezoekt. Criminelen gaan nu gericht te werk.

Uit een nieuwe golf van ransomware-gevallen blijkt dat steeds meer criminelen hun strategie veranderen. Ze gebruiken exploits – vaak al jaren bekend – om hun kwaadaardige software direct te injecteren op de netwerken van bedrijven en andere kwetsbare organisaties waarvan ze verwachten dat er iets te halen valt, meldt IT-beveiliger Symantec.

Voorbeelden van de nieuwe strategie zijn de aanvallen op ziekenhuizen in de Verenigde Staten. Tien ziekenhuizen aangesloten op het MedStar Health-netwerk voor ziekenhuizen in de staat Maryland, konden meer dan een week niet bij hun gecentraliseerde  voorzieningen omdat de ransomware-variant Samsam (ook wel Samsa genoemd) alle bestanden op de servers had gegijzeld. 

Vele miljoenen systemen direct in gevaar

Er zijn meer voorbeelden, zegt Ars Technica. De aanvallen zijn zo succesvol omdat de criminelen zichzelf admin-niveaurechten toe-eigenen op de Windows-domeinen die ze als slachtoffer hadden uitgekozen. Dat kon heel gericht doordat ze gebruik maken van niet-gepatchte lekken. Volgens een recent onderzoek van Cisco zijn bijvoorbeeld meer dan 2 miljoen systemen kwetsbaar voor de Red Hat JBoss enterprise server exploit die in het geval van het Maryland MedStar Health-netwerk werd gebruikt.

De nieuwe aanpak betekent een duidelijke wijziging in de strategie van de criminelen. Tot nog toe zetten zij vooral gemanipuleerde websites in om de malware-aanval in te luiden. Daarbij waren zij afhankelijk van phishing om medewerkers te verleiden die malafide website te bezoeken. Met de complexere, maar veel gerichtere aanval via de bekende exploits zijn de criminelen niet langer afhankelijk. van goedgelovige medewerkers. Ze scannen de netwerken van hun slachtoffers op bekende exploits en dringen zonder tussenkomst van derden binnen.


Source: Automatoserings nieuws