Criminelen infecteren klanten van MSP met ransomware

Bron: security.nl

Weer zijn klanten van een managed service provider (MSP) met ransomware geïnfecteerd nadat criminelen toegang tot de MSP kregen. Managed service providers verlenen allerlei soorten diensten aan hun klanten, zoals systeembeheer.

Op Reddit werd er gisteren melding gemaakt van een aanval waarbij er via een niet nader genoemde MSP ransomware werd verspreid. Volgens securitybedrijf Huntress Labs wisten de aanvallers via RDP toegang te krijgen. Vervolgens maakten ze gebruik van de Webroot managementconsole om de ransomware op klantsystemen te downloaden en aanwezige antivirussoftware uit te schakelen. Tevens werden aanwezige back-ups verwijderd. Via de managementconsole kunnen systeembeheerders op afstand bestanden downloaden en uitvoeren.

Webroot laat in een reactie op Reddit weten dat inderdaad een aantal klanten die van de managementconsole gebruikmaken zijn getroffen door aanvallers. Deze aanvallers wisten via een combinatie van het remote desktopprotocol (RDP) en een “slechte cyberhygiëne” wat betreft authenticatie binnen te dringen. Om ervoor te zorgen dat klanten security best practices volgen heeft Webroot alle klanten van hun managementconsoles uitgelogd en het gebruik van tweefactorauthenticatie verplicht gesteld.

Huntress Labs laat in een update over het incident weten dat de aanvallers ook gebruik van Kaseya hebben gemaakt. Dit is een tool om systemen op afstand mee te beheren. Bij een soortgelijke aanval in februari maakten aanvallers ook al gebruik van Kaseya. Destijds werden klanten van een MSP met de GandCrab-ransomware besmet. Dit maal gaat het om de Sodinokibi-ransomware.

 

Please follow and like us: