De Australische overheid heeft een waarschuwing afgegeven voor aanvallen met de INC Ransom-ransomware en adviseert organisaties onder andere om ingebouwde en lokale administrator-accounts te beperken of uit te schakelen, waar mogelijk multifactorauthenticatie (MFA) toe te passen en het gebruik van tools zoals TeamViewer en AnyDesk te beperken tot alleen geautoriseerde admins, of anders de software uit te schakelen.
De INC Ransom-groep was onder andere verantwoordelijk voor de aanval op de Amerikaanse tak van Ahold Delhaize, waarbij ook gegevens van medewerkers van Albert Heijn, Etos en Gall & Gall werden gestolen. Ook Britse ziekenhuizen werden doelwit van de ransomware. De criminelen achter INC Ransom hanteren een Ransomware-as-a-Service (RaaS) model. Via RaaS kunnen criminelen (partners) op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van INC Ransom wordt hiervoor gebruikgemaakt van gestolen inloggegevens en kwetsbaarheden in apparaten die vanaf internet toegankelijk zijn.
Volgens het Australische Cyber Security Centre (ACSC) had de groep het eerst voorzien op doelwitten in de Verenigde Staten en het Verenigd Koninkrijk, maar zijn sinds vorig jaar steeds vaker organisaties in Australië en Nieuw-Zeeland het doelwit. Het gaat onder andere om instanties in de gezondheidszorg, die door middel van gestolen inloggegevens werden gecompromitteerd. Voordat aanvallers de ransomware uitrollen om bestanden te versleutelen, wordt er eerst allerlei data buitgemaakt. Als getroffen organisaties het gevraagde losgeld niet betalen dreigen de criminelen de buitgemaakte gegevens via hun eigen website te publiceren.
Het ACSC stelt dat organisaties verschillende maatregelen kunnen treffen om de kans op een ransomare-aanval te verkleinen. Zo wordt aangeraden om kwetsbaarheden tijdig te patchen, vpn-toegang extra te beveiligen, waar mogelijk MFA toe te passen, het op een veilige wijze maken en testen van back-ups en het filteren en monitoren van netwerkverkeer.
Organisaties worden ook aangeraden om standaard gebruikersaccounts van administrator-accounts te scheiden en gedeelde, ingebouwde en lokale admin-accounts waar mogelijk te beperken of uit te schakelen. Tevens wordt geadviseerd om het gebruik van remote management tools zoals TeamViewer en AnyDesk tot alleen geautoriseerde admins te beperken en dergelijke tools uit te schakelen als ze niet nodig zijn.
Bron: Security.nl
De Australische overheid heeft een waarschuwing afgegeven voor aanvallen met de INC Ransom-ransomware en adviseert organisaties onder andere om ingebouwde en lokale administrator-accounts te beperken of uit te schakelen, waar mogelijk multifactorauthenticatie (MFA) toe te passen en het gebruik van tools zoals TeamViewer en AnyDesk te beperken tot alleen geautoriseerde admins, of anders de software uit te schakelen.
De INC Ransom-groep was onder andere verantwoordelijk voor de aanval op de Amerikaanse tak van Ahold Delhaize, waarbij ook gegevens van medewerkers van Albert Heijn, Etos en Gall & Gall werden gestolen. Ook Britse ziekenhuizen werden doelwit van de ransomware. De criminelen achter INC Ransom hanteren een Ransomware-as-a-Service (RaaS) model. Via RaaS kunnen criminelen (partners) op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. In het geval van INC Ransom wordt hiervoor gebruikgemaakt van gestolen inloggegevens en kwetsbaarheden in apparaten die vanaf internet toegankelijk zijn.
Volgens het Australische Cyber Security Centre (ACSC) had de groep het eerst voorzien op doelwitten in de Verenigde Staten en het Verenigd Koninkrijk, maar zijn sinds vorig jaar steeds vaker organisaties in Australië en Nieuw-Zeeland het doelwit. Het gaat onder andere om instanties in de gezondheidszorg, die door middel van gestolen inloggegevens werden gecompromitteerd. Voordat aanvallers de ransomware uitrollen om bestanden te versleutelen, wordt er eerst allerlei data buitgemaakt. Als getroffen organisaties het gevraagde losgeld niet betalen dreigen de criminelen de buitgemaakte gegevens via hun eigen website te publiceren.
Het ACSC stelt dat organisaties verschillende maatregelen kunnen treffen om de kans op een ransomare-aanval te verkleinen. Zo wordt aangeraden om kwetsbaarheden tijdig te patchen, vpn-toegang extra te beveiligen, waar mogelijk MFA toe te passen, het op een veilige wijze maken en testen van back-ups en het filteren en monitoren van netwerkverkeer.
Organisaties worden ook aangeraden om standaard gebruikersaccounts van administrator-accounts te scheiden en gedeelde, ingebouwde en lokale admin-accounts waar mogelijk te beperken of uit te schakelen. Tevens wordt geadviseerd om het gebruik van remote management tools zoals TeamViewer en AnyDesk tot alleen geautoriseerde admins te beperken en dergelijke tools uit te schakelen als ze niet nodig zijn.
Bron: Security.nl
Deel dit bericht: