'Zerodays in SmarterMail en GoAnywhere MFT gebruikt bij ransomware-aanvallen'

In dit artikel:

Microsoft waarschuwt dat de criminele groep die het Storm-1175 noemt kwetsbaarheden in SmarterMail en GoAnywhere MFT heeft misbruikt bij ransomware-aanvallen. De aanvallen troffen vooral zorginstellingen, onderwijs, dienstverleners en financiële bedrijven in Australië, het Verenigd Koninkrijk en de Verenigde Staten. Volgens Microsoft profiteert de groep razendsnel van openbaar gemaakte lekken; naast SmarterMail en GoAnywhere werden ook fouten in onder meer Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, SimpleHelp, BeyondTrust en SAP NetWeaver gebruikt. In sommige gevallen vielen de aanvallers al binnen een dag na publicatie van een patch kwetsbare systemen aan; bij SmarterMail en GoAnywhere gebeurde het misbruik zelfs voordat updates beschikbaar waren (leveranciers brachten ongeveer een week na ontdekking een patch uit).

Na eerste toegang bewegen de aanvallers zich lateraal door netwerken, proberen ze de domain controller te compromitteren en gebruiken ze vervolgens PDQ Deployer — een legitiem beheerhulpmiddel — om ransomware op meerdere systemen uit te rollen. Dit patroon van snelle exploitatie, laterale beweging en misbruik van beheertools vergroot de schade en maakt herstel lastiger.

Microsoft raadt organisaties aan web-facing systemen niet rechtstreeks aan het publieke internet bloot te stellen, maar toegang via een VPN te regelen. Als servers toch publiek bereikbaar moeten zijn, adviseert het bedrijf het inzetten van een web application firewall (WAF), een reverse proxy of het plaatsen van servers in een DMZ. Aanvullende praktische maatregelen zijn het snel toepassen van patches, netwerksegmentatie, streng beheer en monitoring van beheerhulpmiddelen zoals PDQ, multi-factor authenticatie en up-to-date offline backups om de impact van ransomware te beperken.