Ga naar inhoud

Ransomware omzeilt antivirus door pc in veilige modus te starten

Captain Kirk
 Delen

Aanbevolen berichten

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Onderzoekers hebben een ransomware-exemplaar ontdekt dat antivirussoftware probeert te omzeilen door Windowscomputers in de veilige modus te starten. In de veilige modus is de meeste beveiligingssoftware namelijk niet actief, waardoor de ransomware ongehinderd bestanden op de computer kan versleutelen. Snatch, zoals de ransomware door antivirusbedrijf Sophos wordt genoemd, maakt voor zichzelf een service aan die in de veilige modus wordt geladen.

Vervolgens wordt de computer van het slachtoffer in de veilige modus herstart en de ransomware geladen. De criminelen achter de Snatch-ransomware zoeken naar kwetsbare, toegankelijke services. Het gaat dan bijvoorbeeld om systemen die via het Remote Desktopprotocol (RDP), TeamViewer en VNC toegankelijk zijn. Sophos is bekend met een incident waarbij de aanvallers via een bruteforce-aanval het beheerdersaccount van een Microsoft Azure-server wisten te achterhalen. Vervolgens werd er via RDP op de server ingelogd.

Vanaf de Azure-server gebruikten de aanvallers het beheerdersaccount om op een domeincontrollermachine op hetzelfde netwerk in te loggen. Gedurende een aantal weken werd het netwerk van het slachtoffer verkend, waarna geprobeerd werd de ransomware te installeren. Het Amerikaanse securitybedrijf Coveware, dat voor bedrijven met cybercriminelen onderhandelt over het losgeld en ontsleutelen van bestanden, heeft tussen juli en oktober voor twaalf klanten met de criminelen achter de Snatch-ransomware onderhandeld.

Om infecties door de ransomware te voorkomen adviseert Sophos om RDP-toegang niet voor heel het internet toegankelijk te maken. Organisaties die remote toegang willen bieden moeten dit via een VPN doen. Verder wordt het gebruikt van multifactorauthenticatie voor gebruikers met beheerdersrechten aangeraden. Tevens doen organisaties er verstandig aan om al hun machines te monitoren. De meeste infecties en aanvallen vonden plaats via onbeschermde en niet gemonitorde systemen.

 

 

bron: security.nl

Link naar reactie
Delen op andere sites
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.