De FBI breekt in bij bedrijven die kwetsbaar zijn om te voor komen dat cybercriminelen dit doen. Goed idee? Zou dit ook een goed voorbeeld kunnen zijn hoe de Nederlandse politie in de toekomst bedrijven moet beschermen? Wat is jou mening hier over?
De politie moet toestemming krijgen om bedrijven te hacken die kwetsbaar zijn. Om zo cybercriminelen voor te zijn en bedrijven proactief te beschermen.
FBI hackt kwetsbare bedrijven
De FBI heeft honderden besmette Microsoft Exchange-servers in de Verenigde Staten opgeschoond door aanwezige webshells op afstand te verwijderen, zo laat het Amerikaanse ministerie van Justitie weten. De autoriteiten hopen zo misbruik van de kwetsbare servers te voorkomen. De Exchange-servers zijn gecompromitteerd via verschillende kwetsbaarheden waarvoor Microsoft op 2 maart noodpatches uitbracht.
Zeroday
Die beveiligingslekken werden echter al voor het uitkomen van de updates misbruikt. Aanvallers gebruikten de kwetsbaarheden voor het installeren van webshells. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Zo zijn de webshells onder andere gebruikt voor de installatie van ransomware op de gecompromitteerde servers en het stelen van gegevens.
Rechter heeft toestemming
Ook na het uitkomen van de beveiligingsupdates bleven aanvallers de kwetsbaarheden gebruiken om ongepatchte Exchange-servers met webshells te infecteren. "Veel eigenaren van besmette systemen hebben de webshells van duizenden servers verwijderd. Anderen zijn hier niet in geslaagd en honderden van dergelijke webshells zijn nog steeds actief", aldus het ministerie. De FBI vroeg een Amerikaanse rechter om toestemming om deze webshells van Exchange-servers in de VS te verwijderen.
Het gaat dan specifiek om de webshells van een groep die in een vroeg stadium van de Exchange-kwetsbaarheden misbruik maakte om toegang tot netwerken van Amerikaanse organisaties te krijgen, zo laat het ministerie verder weten. Deze webshells waren elk voorzien van een unieke pad- en bestandsnaam, waardoor het mogelijk lastiger was voor de servereigenaren om die te vinden en verwijderen.
Eigenaren worden achteraf geïnformeerd
De FBI is van plan om alle eigenaren en beheerders van de servers waar het de webshells van heeft verwijderd te informeren. In het geval contactgegevens openbaar zijn zal de Amerikaanse opsporingsdienst een e-mail sturen. In het geval de contactgegevens niet bekend zijn, zal de FBI de provider van de betreffende eigenaar informeren, die vervolgens weer de besmette en opgeschoonde klant kan waarschuwen.
Het ministerie voegt toe dat hoewel de webshells succesvol zijn verwijderd, de onderliggende kwetsbaarheden in de Exchange-server niet zijn gepatcht. Ook kan het zijn dat andere malware nog steeds op het systeem aanwezig is. Organisaties wordt dan ook gewezen op eerder advies van Microsoft om servers op malware te controleren.
Opnieuw twee ernstige kwetsbaarheden
Microsoft waarschuwt afgelopen dinsdag opnieuw organisaties voor twee kritieke kwetsbaarheden in Exchange Server 2013, 2016 en 2019 waardoor een aanvaller kwetsbare servers op afstand kan overnemen. Voor zover bekend is er nog geen misbruik van de beveiligingslekken gemaakt, maar Microsoft houdt er wel rekening mee dat dit zal gebeuren.
De kwetsbaarheden, aangeduid als CVE-2021-28480 en CVE-2021-28481, zijn beide op een schaal van 1 tot en met 10 wat betreft de ernst met een 9,8 beoordeeld. De Amerikaanse geheime dienst NSA ontdekte en rapporteerde de beveiligingslekken aan Microsoft. Onderzoekers van het techbedrijf hadden de kwetsbaarheden echter onafhankelijk van de NSA ook al gevonden. Verdere details over de lekken zijn niet door Microsoft gegeven.
De kwetsbaarheden:
Meteen installeren
Organisaties worden opgeroepen om de beveiligingsupdates meteen te installeren, mede gezien de aanvallen die de afgelopen maanden op Exchange-servers plaatsvonden. "Recente gebeurtenissen hebben aangetoond dat securityhygiëne en patchmanagement belangrijker dan ooit tevoren zijn", aldus Microsoft. "Het is echt belangrijk dat onze klanten de laatste versie van de software gebruiken die up-to-date beveiligingsupdates heeft." Organisaties die van Exchange Online gebruikmaken zijn al beschermd en hoeven geen verdere actie te ondernemen.
Hack The Box: Hoe een n00b zijn invite code kreeg
Een tijd geleden kreeg ik van een goede vriend van mij de tip om de documentaire 'Rats & Slaves' van NPO3 te bekijken. Kort samengevat gaat de documentaire over geïnfecteerde/gehackte computers van nietsvermoedende slachtoffers en hoe deze gehackte computers verkocht worden op het Darkweb door zogeheten 'RATters' (RAT staat voor Remote Acces Trojan). Deze gehackte computers worden vervolgens gebruikt om mensen te bespioneren voor de fun of om mensen af te persen (Ik raad je echt aan deze documentaire te kijken!).
AIVD en MIVD: VPN-gat misbruikt door staatshackers
De grote kwetsbaarheid in VPN-software van Pulse Secure, wat vorig jaar wereldwijde impact had, is niet alleen door cybercriminelen benut. Ook statelijke actoren hebben nuttig gebruik gemaakt van het beveiligignsgat. De Nederlandse inlichtingendiensten AIVD en MIVD hebben dit gesignaleerd, meldt minister Ferd Grapperhaus van Justitie en Veiligheid nu aan de Kamer.
De eenvoud van het hacken van een account en hoe jij je ertegen kunt beveiligen
De laatste tijd wordt er in de media steeds meer aandacht besteed aan bedrijven die slachtoffer zijn geworden van cyberaanvallen. In sommige van deze cyberaanvallen wordt ook data ontvreemd door de hacker en worden deze gegevens doorverkocht of publiekelijk kenbaar gemaakt. Doordat de gestolen data in veel gevallen ook gebruikersnamen met wachtwoorden bevat, wordt het steeds eenvoudiger om accounts te kraken.
WhatsApp populair dus ook intressant voor Hackers
WhatsApp lijkt goed beveiligd, maar hackers kunnen helaas nog redelijk makkelijk inbreken in je WhatsApp-account. Gelukkig kun je een extra beveiligingslaag toevoegen aan je WhatsApp. Zo werkt het!
Citrix-Lek en mogelijk 29 datalekken
Bedrijven die zijn geraakt door het Citrix-beveiligingslek, moeten oppassen dat hun website niet wordt misbruikt door hackers. Daarvoor waarschuwt het Nederlands Security Meldpunt. Hackers zijn na een hack van de Citrix-servers hoogstwaarschijnlijk in staat om de beveiligde verbinding van de website van het bedrijf over te nemen.
Hackers probeerden computersysteem Amphia Ziekenhuis in Breda binnen te komen
BREDA - Hackers hebben geprobeerd het computersysteem van het Amphia Ziekenhuis in Breda binnen te komen. Dit werd geprobeerd via het Citrix-systeem. Onlangs bleek dit systeem kwetsbaar te zijn voor aanvallen. Meerdere Brabantse gemeenten en zorginstellingen gebruiken Citrix, sommigen hebben het vanwege het risico op aanvallen preventief uitgeschakeld. Brabant Water besloot hetzelfde te doen na vragen van Omroep Brabant.