Malware-experts bij Microsoft hebben bedrijven gewaarschuwd om op hun hoede te zijn voor hackers die de PonyFinal-ransomware op gecompromitteerde IT-systemen willen installeren.
Aanvallen met de op Java gebaseerde PonyFinal-ransomware zijn sinds begin april in het wild waargenomen, met berichten uit India, Iran en de Verenigde Staten.
Wat de PonyFinal-ransomware bijzonder effectief maakt, is dat de hackers achter de aanvallen tijd besteden aan het onderzoeken van hun beoogde slachtoffers en het opstellen van een plan voor de beste manier om het losgeld dat ze mogelijk kunnen verkrijgen te maximaliseren.
In een reeks tweetsbenadrukte het beveiligingsteam van Microsoft dat het belangrijker is voor organisaties om zich te concentreren op de manier waarop de aanval wordt uitgevoerd dan op de kwaadaardige lading.
En daar zit zeker een kern van waarheid in. Een groot deel van de media-aandacht voor ransomware-aanvallen richt zich op bedrijven die geen toegang meer hebben tot hun gecodeerde gegevens en het dilemma of ze het losgeld moeten betalen of niet.
Wat misschien nuttiger is voor IT-beveiligingsteams is om meer nadruk te leggen op hoe een aanval überhaupt begint, en welke methoden een hackersbende gebruikt om ransomware op de computersystemen van het bedrijf te plaatsen.
Als er een aanval kan worden uitgevoerd om bij de eerste hindernis te struikelen, zal uw bedrijf immers hopelijk nooit te maken krijgen met het nachtmerriescenario over hoe ze hun gecodeerde gegevens moeten herstellen.
Volgens de onderzoekers hebben hackers zich toegang verschaft tot potentiële slachtoffers door zich met brute kracht een weg te banen naar bedrijfsservers, internetgerichte websystemen in gevaar te brengen en bevoorrechte inloggegevens te verkrijgen.
Veel voorkomende vectoren voor een initiële infectie zijn brute kracht van RDP, kwetsbare internetgerichte systemen en zwakke applicatie-instellingen.
In sommige gevallen hebben de aanvallers Java Runtime Environment (JRE) ingezet, die PonyFinal moet uitvoeren. Er zijn echter ook sluipende aanvallen waargenomen waarbij aanvallers misbruik hebben gemaakt van het bestaan van een JRE-installatie die al op een eindpuntcomputer bestaat.
Phillip Misner, beveiligingsprogrammamanager bij Microsoft, vertelde Donkere lezing dat de criminelen achter de PonyFinal-aanvallen hun aanvallen voor specifieke doelen vormden.
“Net als al deze door mensen bediende ransomwarecampagnes is dit een stuk beter dan je normale criminele organisatie. Dit zijn aanvallers met de mogelijkheid om meerdere payloads te kiezen en die hun tijd besteden aan onderzoek om te zien hoe ze het meeste geld kunnen halen uit de compromissen die ze maken.”
Word niet het volgende slachtoffer. Onderneem stappen binnen uw bedrijf om de kans op een ransomware-aanval te verkleinen.
