Recente ransomware-aanvallen hebben misbruik gemaakt van zogenaamde ‘zerodays’ in SmarterMail en GoAnywhere MFT (Managed File Transfer). Volgens Microsoft vonden deze aanvallen plaats voordat er beveiligingsupdates beschikbaar waren, uitgevoerd door een criminele groep genaamd Storm-1175.
Details over de aanvallen en doelwitten
De groep Storm-1175 richt zich voornamelijk op zorgorganisaties, onderwijsinstellingen, dienstverleners en financiële bedrijven in Australië, het Verenigd Koninkrijk en de Verenigde Staten. Microsoft benadrukt dat deze groep extreem snel misbruik maakt van kwetsbaarheden zodra deze bekend worden, soms zelfs al een dag na het uitkomen van een patch op nog niet-gepatchte systemen. Na toegang tot een systeem proberen de aanvallers zich lateraal door het netwerk te bewegen en uiteindelijk de domain controller te compromitteren om ransomware uit te rollen met behulp van tools zoals PDQ Deployer.
Kwetsbaarheden en mitigatie
Misbruik van de kwetsbaarheden in SmarterMail en GoAnywhere MFT vond plaats vóórdat de leveranciers patches uitbrachten, wat ongeveer een week na de waargenomen aanvallen gebeurde. Microsoft adviseert organisaties dringend om hun ‘web-facing’ systemen te beveiligen door directe toegankelijkheid vanaf het openbare internet te vermijden en in plaats daarvan gebruik te maken van VPN’s. Voor servers die wel vanaf internet toegankelijk moeten zijn, wordt het gebruik van een Web Application Firewall (WAF), reverse proxy of DMZ aangeraden. Meer algemene beveiligingsadviezen vindt u in onze sectie Beveiligingsmeldingen.
Impact en aanbevelingen
De snelle exploitatie van zerodays toont het cruciale belang van proactieve beveiligingsmaatregelen en het snel toepassen van patches zodra deze beschikbaar zijn. Organisaties moeten hun systemen continu monitoren en een gelaagde beveiligingsstrategie implementeren om dergelijke geavanceerde bedreigingen het hoofd te bieden. Voor meer informatie over recente cyberdreigingen, raadpleeg ons artikel over oplichting door elektriciens via Google Ads, wat de diversiteit van online gevaren benadrukt.
Bron: Security.nl, Microsoft.
