Gestolen inloggegevens van beheerder M.E.Doc misbruikt in aanval met Petya-ransomware

  1. 6 jul 2017
  2. 0 reacties

malware

De aanvallers achter de aanval met de Petya-ransomware hebben misbruik gemaakt van de inloggegevens van een beheerder van M.E.Doc. Dit gaf hen de mogelijkheid toegang tot een server van M.E.Docs en de mogelijkheid de ransomware te verspreiden naar klanten van M.E.Doc.

Dit meldt de Talos Security Intelligence and Research Group, de cyber threat intelligence divisie van Cisco. Talos heeft van M.E.Doc toegang gekregen tot de logbestanden en code van de server waarmee de ransomware verspreid blijkt te zijn. “Een onbekende actor heeft de inloggegevens van een beheerder bij M.E.Doc gestolen. Zij logde in op de servers, verkregen rootrechten en hebben het configuratiebestand voor de NGINX webservers aangepast. We zijn niet in staat geweest het nginx.conf bestand te herstellen, aangezien het is overschreven. Additionele logbestanden waren van belang om te begrijpen wat is gewijzigd”, schrijft Talos in een blogpost.

Verkeer omleiden naar malafide server

De NGINX server was volgens Talos geherconfigureerd zodat al het verkeer naar upd.me-doc.com.ua werd omgeleid naar een server die onder beheer stond van de aanvallers. Het gaat hierbij om een host in de OVH IP-space met het IP-adres 176.31.182.167. Vervolgonderzoek toonde aan dat deze server werd beheerd door een reseller, thcservers.com, en dat de server diezelfde dag om 7:46 PM UTC werd gewist”, meldt Talos.

Na de aanval zijn de wijzigingen in het configuratiebestand van de webserver van M.E.Doc ongedaan gemaakt. Logbestanden tonen aan dat de ransomware gedurende drie uur en twintig minuten naar klanten van M.E.Doc is verspreid. Hiervoor is gebruik gemaakt van een backdoor die aanwezig was in verschillende updates van M.E.Doc.

Supply-chain aanval

Talos stelt dat het gaat om een ‘supply-chain aanval’. Hierbij worden grote organisaties niet direct aangevallen, maar via vertrouwde hardware of software leveranciers. Talos waarschuwt bedrijven van iedere omvang en uit iedere geografische regio extra alert te zijn op dit soort aanvallen.

Meer over
Lees ook
Nieuwe Zeus-variant probeert gebruikers te dwingen op linkjes te klikken

Nieuwe Zeus-variant probeert gebruikers te dwingen op linkjes te klikken

Cybercriminelen hebben een nieuwe variant van de beruchte Zeus trojan ontwikkeld waarbij een geheel andere aanpak hanteert om geld te verdienen. Waar andere Zeus-varianten voornamelijk gebruikt worden om gegevens voor internetbankieren te stelen probeert de nieuwe Zeus-variant slachtoffers te dwingen op links te klikken. Deze links leveren de crim1

Nieuwe trojan hackt WiFi-routers via brute force-aanval

Nieuwe trojan hackt WiFi-routers via brute force-aanval

Een nieuwe trojan valt routers aan en probeert zowel het beheerderswachtwoord van de apparaten te kraken als het DNS-adres in de configuratie van de WiFi-routers te wijzigen. Hiervoor waarschuwt het beveiligingsbedrijf Dr. Web. De malware Rbrute infecteert eerst de computer van een slachtoffer en zet vervolgens een verbinding op met een server. De1

NSA plaatst malware op computersystemen om verdachten te bespioneren

NSA plaatst malware op computersystemen om verdachten te bespioneren

De NSA infecteert op grote schaal computersystemen met malware. Door kwetsbaarheden in allerlei software te misbruiken kan de NSA kwaadaardige software installeren op computers van doelwitten, waardoor zij toegang kregen tot deze systemen. Dit meldt Glenn Greenwald op The Intercept. Greenwald is een journalist die in het verleden veel heeft geschr1