Antivirusbedrijf: Windowscomputers aangevallen met Linux-ransomware

In dit artikel:

Antivirusbedrijf Trend Micro meldt dat de ransomwaregroep Qilin dit jaar al ongeveer 700 organisaties in 62 landen heeft getroffen, vooral in de Verenigde Staten, Frankrijk, Canada en het Verenigd Koninkrijk. De groep gebruikt onconventionele tactieken: naast klassieke methoden zoals spearphishing en het misbruiken van gestolen of via brute-force verkregen inloggegevens, lokken zij medewerkers met malafide „captcha’s” die gebruikers opdracht geven een commando uit te voeren — waarmee in werkelijkheid malware wordt geïnstalleerd.

Na toegang volgt het gebruikelijke patroon van privilege-escalatie en laterale beweging binnen netwerken totdat men domeinbeheerdersrechten bereikt; daarna wordt data buitgemaakt en uiteindelijk de ransomware uitgerold. Qilin zet daarbij een Linux-ransomwarevariant in op Windowsmachines door via Splashtop-remote-management Linux-binaries te starten. Dit maakt detectie lastig op endpoints die niet zijn ingericht om het uitvoeren van Linux-code via beheerhulpmiddelen tegen te houden.

Als drukmiddel laten de aanvallers een losgeldmelding achter die ook inloggegevens bevat om via een communicatieportaal het onderhandelen over betaling mogelijk te maken. Organisaties kunnen dit risico verkleinen door remote-managementtoegang streng te beveiligen (onder meer multi-factor authentication en logging), endpoints te configureren om ongewenste Linux-binaries en externe sessies te blokkeren, wachtwoordbeleid en monitoring te verbeteren en medewerkers te trainen voor social-engineeringtrucs zoals misleidende captchas.