Hackers gebruiken de cyberaanval op de koloniale pijplijn om nieuwe slachtoffers te maken. Ze doen alsof ze van de helpdesk zijn en sturen berichten met de vraag om een systeemupdate te installeren om ransomware-aanvallen te voorkomen. Werknemers downloaden zelfs een “Cobalt Strike”-bestand, dat ze gebruiken om toegang te krijgen tot de IT-systemen van hun slachtoffers.
cyberbeveiliging inkt Hij schrijft uitgebreid over deze nieuwste phishing-zwendel.
Koloniepijplijn blootgesteld aan ransomware, CEO betaalt $ 4,4 miljoen losgeld
Begin mei was Colonial Pipeline het doelwit van een ransomware-aanval. De Russische hackgroep DarkSide wist de ransomware te installeren op het netwerk van het bedrijf van de Amerikaanse oliemaatschappij. Werknemers zijn buitengesloten en kunnen hun werk niet meer doen. De aanvallers zijn er naar verluidt in geslaagd om 100 GB aan gegevens te stelen.
De Colonial Pipeline vervoert dagelijks ongeveer 2,5 miljoen vaten olie via haar 8850 kilometer lange pijpleidingen. Ongeveer de helft daarvan is voor de oostkust van de Verenigde Staten. Vanwege malware op IT-systemen besloot Colonial Pipeline een deel van de productie stil te leggen. Omdat geraffineerde aardolie niet meer op volle capaciteit wordt geleverd, hebben veel bedrijven problemen ondervonden. Om de maatschappelijke ontwrichting te verminderen, werd een tijdelijke noodwet uitgevaardigd die het vervoer van olie over de weg mogelijk maakt. Maar dit was slechts een druppel op een gloeiende plaat.
Joseph Blount, CEO van Colonial Pipeline, besloot Darkside af te betalen. Met tegenzin maakte hij $ 4,4 miljoen over naar de bankrekening van de hackers. “Ik realiseer me dat het een controversieel besluit is. Ik nam het niet licht op. Ik voelde me niet op mijn gemak bij het zien van de geldstroom naar de daders. Ik deed het in het nationaal belang”, zei hij in een interview met De Wall Street Journal.
Dit is hoe de nieuwe phishing-zwendel werkt
Een dergelijk scenario is de ergste nachtmerrie voor bedrijven en organisaties. Ze doen er alles aan om ervoor te zorgen dat ze niet het volgende slachtoffer worden. Wanneer een bedrijf prominent in het nieuws is, zoals Colonial Pipeline, willen hackers en cybercriminelen daar graag misbruik van maken. Of liever: ze maken er gretig misbruik van.
Bukar Alibe van cyberbeveiligingsbedrijf INKY schreef in een blog dat hij onlangs verschillende e-mails had ontvangen die zogenaamd afkomstig waren van helpdeskorganisaties. Daarin verwijzen ze expliciet naar de gebeurtenissen die plaatsvonden in de Koloniale Pijpleiding. Om ervoor te zorgen dat de computersystemen van de president niet worden gegijzeld door ransomware, moeten ze System Update installeren. Volgens het rapport detecteert de update de nieuwste varianten van ransomware en beschermt het de computers van medewerkers.
De e-mail eindigt met een vervalste URL, afkomstig van ms-sysupdate.com of selectionpatch.com. Medewerkers die op deze link klikken, krijgen een pagina die er professioneel en betrouwbaar uitziet. Deze is voorzien van een downloadknop waarmee je het bestand “Cobalt Strike” kunt downloaden. Dit was een legitiem hulpmiddel om pentesten te doen, totdat de broncode eind vorig jaar op straat belandde. Sindsdien is het programma gebruikt om ransomware te installeren, monitoring uit te voeren en gegevens te extraheren. Een valse e-mail is een schoolvoorbeeld van een phishing-zwendel.
Deze tips helpen ransomware-aanvallen in een vroeg stadium te stoppen
In deze omgeving probeerden oplichters de angsten van mensen uit te buiten door een software-update aan te bieden die het probleem zou “verhelpen” via een zeer gerichte e-mail. Gebruik ontwerptaal die waarschijnlijk afkomstig is van het bedrijf van de ontvanger. De ontvanger hoefde alleen maar op de grote blauwe te klikken knop en de malware wordt geïnjecteerd”, vat Alibe de phishing-zwendel samen.
De beveiligingsanalist zegt dat hackers zich steeds beter kunnen vermommen. Dit doen ze onder meer door domeinnamen te registreren waarmee ze phishing-systemen kunnen omzeilen. “Als het lijkt alsof het bericht door het bedrijf zelf is verzonden (bijvoorbeeld door het management, IT of HR), komt het bericht dan daadwerkelijk van een e-mailserver die onder controle staat van het bedrijf? Als de e-mail afkomstig lijkt te zijn van de IT-afdeling maar afgeweken van de gebruikelijke berichten, moeten er alarmbellen afgaan”, waarschuwt Alibe.
De daders maken er goed gebruik van social engineering. Werknemers die een e-mail zien waarin hen wordt gevraagd een update te installeren om ransomware-aanvallen af te weren, zullen eerder reageren. Ze willen tenslotte nuttig zijn, vooral na een spraakmakende zaak als de koloniale pijplijn. Volgens Alibe is een protocol waarin staat dat medewerkers bepaalde bestanden en add-ons niet mogen downloaden een goed begin social engineering stoppen. Ten slotte helpt antiphishing- of antivirussoftware veel bij het voorkomen van dergelijke cyberbedreigingen.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”