Ga naar inhoud

FBI waarschuwt voor ransomwaregroep die slachtoffers via macro's infecteert


Aanbevolen berichten

De FBI heeft een waarschuwing afgegeven voor een ransomwaregroep genaamd "OnePercent" die organisaties via macro's in Word- en Excel-documenten infecteert. Volgens de Amerikaanse opsporingsdienst is de groep al sinds november 2020 verantwoordelijk voor ransomware-aanvallen tegen Amerikaanse organisaties (pdf).

De aanval begint met een zip-bestand dat via e-mail wordt verstuurd. Dit zip-bestand bevat weer een Word- of Excel-document met een malafide macro. Wanneer de ontvanger het zip-bestand opent en de macro in het document activeert wordt het systeem met IcedID trojan besmet. Vervolgens wordt via deze malware Cobalt Strike gedownload.

Cobalt Strike is een tool voor het uitvoeren van penetratietests op systemen en netwerken. Het wordt echter ook gebruikt door aanvallers voor het verder compromitteren van aangevallen organisaties. OnePercent gebruikt Cobalt Strike om zich lateraal door het netwerk van de aangevallen organisatie te bewegen. Zodra er gevoelige informatie is gevonden gebruiken de aanvallers het programma rclone om deze data te stelen.

Na de datadiefstal volgt de uitrol van de ransomware, die alle bestanden op besmette systemen versleutelt. De aanvallers maken vervolgens gebruik van gespoofte telefoonnummers om de getroffen organisatie te bellen, aldus de FBI. De aanvallers eisen ook met een vaste onderhandelaar te spreken, anders dreigen ze de gestolen data te publiceren.

De FBI geeft organisaties verschillende adviezen om zich te beschermen, waarbij ook wordt gewezen op het gebruik van het programma rclone. Zo kunnen organisaties letten op de verschillende hashes van de software. Verder volgen generieke adviezen, zoals het maken van offline back-ups, patchen van systemen, implementeren van netwerksegmentatie en het gebruik van multifactorauthenticatie.

 

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...