Microsoft: mkb-bedrijven doelwit van aanvallen met H0lyGh0st-ransomware
Sinds vorig jaar juli zijn mkb-bedrijven het doelwit van aanvallen met de H0lyGh0st-ransomware, zo stelt Microsoft. Volgens het techbedrijf worden de aanvallen door een Noord-Koreaanse actor uitgevoerd, mogelijk in opdracht van de Noord-Koreaanse overheid. Microsoft vermoedt dat de aanvallen een financieel motief hebben, vermoedelijk om inkomsten voor de verzwakte Noord-Koreaanse economie te genereren.
Bedrijven die door de H0lyGh0st-ransomware zijn getroffen moeten bedragen tussen de 1,2 en 5 bitcoin betalen voor het ontsleutelen van hun data. Wanneer ondernemingen niet betalen stellen de aanvallers dat ze gestolen data van de organisatie openbaar maken. Op basis van gevonden bitcoinwallets stelt Microsoft dat de aanvallers sinds het begin van deze maand geen losgeld van hun slachtoffers hebben ontvangen.
Hoe de aanvallers precies toegang tot de netwerken van slachtoffers weten te krijgen is onbekend. Mogelijk maken ze misbruik van bekende kwetsbaarheden in webapplicaties en contentmanagementsystemen (CMS). Het zou onder andere om CVE-2022-26352 gaan, een kritieke kwetsbaarheid in het cms-platform DotCMS. Naast een waarschuwing voor de ransomware heeft Microsoft ook verschillende indicators of compromise (IoC’s), zoals ip-adressen, bestanden en hashes, gepubliceerd die organisaties kunnen gebruiken om eventuele aanvallen te detecteren.
Bron: Security.nl