Cisco Talos heeft een nieuwe geavanceerde ransomware-worm waargenomen, die overeenkomt met Nyetya (ook wel Not-Petya), en vooral gericht lijkt te zijn op Oost-Europa en Rusland. Wat we tot nu toe zien, is dat de gebruiker een 'dropper' – die zich voordoet als een Flash Player update van legitieme gecompromitteerde websites – moet downloaden en handmatig moet uitvoeren.
Net als Nyetya maakt Bad Rabbit gebruik van een aangepaste versie van de Mimikatz wachtwoordherstel tools en maakt het gebruik van SMB-netwerk 'shares' om zich proberen te verspreiden naar verdere hosts in het lokale netwerk. Deze aanval combineert de verspreidingstechniek van malware van gecompromitteerde websites met de wormfunctionaliteit die recentelijk werd gezien in WannaCry en Nyetya / Not-Petya.
Op basis van actuele informatie lijkt de malware ongeveer zes uur actief te zijn geweest voordat de website die deze malware verspreidde werd gestopt. Deze aanval is echter bewijs dat 'threat actors' voortdurend leren en hun aanvalstechnieken verfijnen. Cisco Talos controleert voortdurend de bedreigingsomgeving om bescherming te bieden tegen de laatste bedreigingen.
Organisaties moeten ervoor zorgen dat zij een beveiligingsmechanisme met meerdere lagen aannemen:
– blokkeren van toegang tot kwaadaardige websites
– blokkeren van het downloaden van malware
– stoppen van de infectie van apparaten met endpoint protection, gecombineerd met een goed back-upbeleid en gebruikersonderwijs.
Voor meer informatie, zie onze blogberichten op http://blog.talosintelligence.com/2017/10/bad-rabbit.html
Originally Posted at: https://emear.thecisconetwork.com/site/content/lang/nl/id/8179
CONNECT WITH CISCO
LET US HELP
Call us: 1.800.553.6387 - Ext 118
US/Can | 5am-5pm Pacific Other Countries