Samenwerkingsverband Melissa voorkomt mogelijk duizenden ransomwareslachtoffers

Cybersecuritybedrijven Fox-IT, Northwave en Responders hebben in gezamenlijk onderzoek duizenden kwetsbare servers gevonden die ten prooi hadden kunnen vallen aan de ransomwaregroep 'Cactus'. In Nederland werden zeker zes slachtoffers gevonden.

De ransomwaregroep Cactus is een relatieve nieuwkomer, die sinds maart 2023 vooral slachtoffers maakt onder grote, commerciële bedrijven. De groep maakt gebruik van complexe aanvallen, zegt Northwave in een blog, waarbij geavanceerde technieken worden gebruikt om detectie te voorkomen. De drie cybersecuritybedrijven kwamen er na een gezamenlijke analyse van hun eigen informatie echter achter dat slachtoffers steeds op dezelfde manier worden aangevallen. Bij alle slachtoffers bleek een Qlik Sense-server niet voorzien te zijn van de laatste updates, waardoor de aanvallers via die servers konden binnendringen in de IT-omgeving van het slachtoffer, schrijft branchevereniging Cyberveilig Nederland. Vanaf daar kan de aanval verder worden uitgevoerd.

Om verdere slachtoffers van Cactus te voorkomen, heeft Fox-IT via fingerprinting geïdentificeerd welke servers kwetsbaar waren of mogelijk al misbruikt zijn door Cactus. Vervolgens werd het internet hierop gescand, waarmee wereldwijd zo'n 3.100 kwetsbare Qlik Sense-servers gevonden werden die via het internet te benaderen zijn. 122 daarvan zijn al uitgebuit. In Nederland werden zes systemen gevonden die al getroffen zijn door de Cactus-groep.

De informatie is gedeeld met het Dutch Institute for Vulnerability Disclosure, het Nationaal Cyber Security Center en het Digital Trust Center. Nederlandse bedrijven zijn door deze partijen op de hoogte gebracht, zodat ze de servers kunnen updaten en de kwetsbaarheid kunnen verhelpen. Ook zijn verschillende buitenlandse Computer Security Incident Response Teams door het DIVD geïnformeerd over kwetsbare servers en de bijbehorende IP-adressen, zodat zij organisaties in eigen land kunnen inlichten. De Nederlandse politie heeft dergelijke informatie gedeeld met buitenlandse politiediensten.

Het onderzoek komt voort uit Project Melissa, een samenwerking tussen het Nederlandse Openbaar Ministerie, de politie, het Nationaal Cyber Security Centrum, Cyberveilig Nederland en diverse cybersecuritybedrijven. Als onderdeel van de samenwerking worden maandelijks onderling ransomwarestatistieken gedeeld. "Deze ontdekking onderschrijft het belang van het goed samenwerken in het cybersecuritydomein", zegt Willem Zeeman van Fox-IT. "Het onderling vertrouwen door initiatieven zoals project Melissa is zeer significant toegenomen, waardoor het beter dan ooit mogelijk is die gezamenlijke vuist tegen cybercriminaliteit te vormen.”

Door Eveline Meijer

Nieuwsredacteur

25-04-2024 • 09:35

14

Reacties (14)

Sorteer op:

Weergave:

Hoe komen ze er achter welke bedrijven de software gebruiken? Lijkt mij dat het niet zo makkelijk te achterhalen is.
Ik denk zelf dat dit via shodan redelijk makkelijk te vinden valt als je zou kunnen zoeken op web header of versienummer. Scriptje bouwen voor automatische uitrol en gewoon alle resultaten afgaan die je kunt vinden.
Vermoedelijk door het gebruik van een tool zoals Shodan.io waarmee je gericht kan zoeken naar openstaande poorten en de services die zijn gedetecteerd op internet. Met een (betaalde) account kun je een query doen naar de specifieke software, waardoor je snel een overzicht kan creëren van de bedrijven die dit hebben draaien, vaak inclusief versie informatie.
Mooi werk. Hoe wordt dit bekostigd?
Gedeeltelijk met belastinggeld, in ieder geval.

"Melissa is een samenwerkingsverband tussen deze publieke en private partijen om ransomwareaanvallen te bestrijden. Het gezamenlijke doel is om Nederland een onaantrekkelijk doelwit te maken voor ransomwarecriminelen." (bron)
Inderdaad. En daar is imho helemaal niets mis mee, want dit is in ons aller belang. Als een overheidsorganisatie getroffen zou worden door deze ransomware zijn de potentiele gevolgen mogelijk enorm. Qua kosten, maar ook qua gelekte (persoons)gegevens.

Goed plan dus om samen op te trekken om te proberen deze aanvallen in te perken. En dit soort publiek-private samenwerking zou van mij nog wel vaker mogen worden gedaan, op meerdere vlakken. Dus niet alleen tegen ransomware, maar breder.
Inderdaad, liever dat ze het hieraan uitgeven dan de rotzooi waar ons geld normaal heen word gestuurd door de politici
Met gesloten beurs, de organisaties doen zelfstandig hun eigen onderzoek en informatie uitwisselen kost niks.
Maar de mensen die bezig zijn met het onderzoek zijn natuurlijk niet gratis. En de apparatuur waar ze mee werken ook niet. Helemaal met gesloten beurs is het dus niet, iemand betaald deze kosten.
Gesloten beurs betekend niet gratis, dat betekend zonder dat iemand een rekening naar de ander stuurt.
Simpel, door deze gratis reclame.
Vervolgens bij een bedrijf aangeven, jij hebt een probleem. Kunnen wij oplossen voor bedrag X.
En andere bedrijven die dit horen en deze partijen inhuren.
Vroeger moest de maffia langs je etablissement komen met knuppels om beschermingsgeld los te kloppen. Nu gebruiken ze de digitale revolutie om te prooien op de onwetendheid van mensen op dit gebied. Creëer een hyperrealiteit waar iedereen die niet meedoet slachtoffer wordt, en op deze manier wordt je ook nog bedankt voor je chantage.

Ik zeg niet dat alles in deze sector een scheme is, maar het leent zich er wel extreem goed voor. Zeker als je zaken als kleptografie incalculeert. En als ik dit dan zie, dat er waakhonden zijn om mensen te duwen naar gestandaardiseerde software pakketten, dat er een extreme belangstelling is voor geheime diensten om backdoors overal ter wereld te creëren en als chantage kunnen gebruiken.

Dingen als de ophef rondom NSO zijn echt niet uniek. En ik vermoed dat dingen als Spectre en Meltdown geen fouten waren, maar ontdekte backdoors. Bedenk je de implicatie dat deze CPU's voor een groot deel israëlische technologie bezitten, de rol die dit land momenteel speelt geopolitiek, en wellicht dat zelfs je meest paranoïde ideeën tekort schieten.
Vervolgens werd het internet hierop gescand..
Dan heb je ook een bak hardware en verbindingen nodig omdat te doen? Of valt dat wel mee?
Er zijn natuurlijk al tools die daar de infrastructuur voor hebben en dat doen zoals Shodan. Als je de kenmerken van een Qlik server (poorten etc.) kunt gebruiken om middels Shodan het internet te doorzoeken is dat niet heel intensief.

Op dit item kan niet meer gereageerd worden.