Microsoft: ransomwaregroep resette wachtwoord van 150.000 gebruikers

Een ransomwaregroep die onderwijsinstellingen aanvalt heeft bij één getroffen organisatie de wachtwoorden van 150.000 gebruikers gereset voordat de ransomware werd uitgerold. Dit om het herstellen van de ransomware-aanval te bemoeilijken, zo laat Microsoft weten. De groep wordt “Vice Society” genoemd en heeft het voorzien op onderwijsinstellingen wereldwijd, maar met name in de Verenigde Staten.

De groep wist onder andere in te breken op systemen van het Los Angeles Unified School District (LAUSD), het op één na grootste schooldistrict van de Verenigde Staten met 660.000 leerlingen. Vervolgens besloot de groep gevoelige gegevens die bij de aanval werden gestolen op internet te publiceren. Het gaat onder andere om psychologische onderzoeken van leerlingen, persoonsgegevens en social-securitynummers.

Voordat de groep ransomware uitrolt wordt eerst allerlei data gestolen. In sommige gevallen kiest de groep ervoor geen ransomware uit te rollen en beperkt de aanval zich tot alleen het stelen van gegevens. Wanneer slachtoffers het gevraagde losgeld niet betalen dreigen de aanvallers de gestolen data online te zetten. Hoe de aanvallers precies toegang tot de netwerken van hun slachtoffers weten te krijgen kan Microsoft niet zeggen.

Wel blijkt uit onderzoek dat Vice Society allerlei acties uitvoert om ervoor te zorgen dat getroffen organisaties zonder het losgeld te betalen niet van de aanval kunnen herstellen. Microsoft heeft naar eigen zeggen bij één onderzochte aanval gezien hoe de aanvallers twee accounts van domeinbeheerders in handen kregen en vervolgens van 150.000 gebruikers het wachtwoord resetten. Daardoor konden deze gebruikers niet meer op systemen inloggen.

Vervolgens werd de ransomware uitgerold. Op deze manier werd het herstelproces gehinderd, waaronder pogingen om de ransomware te stoppen of de incidentrespons op de aanval zelf, aldus Microsoft. Ook blijkt dat de aanvallers nieuwe admin-accounts toevoegen om ook zonder malware toegang te behouden. Daarbij maken ze gebruik van de naamgevingsconventie van de betreffende organisatie, zodat het aangemaakte account niet opvalt.

In een blogposting heeft Microsoft nu meer technische details gegeven over de werkwijze van Vice Society en wat organisaties kunnen doen om aanvallen door de ransomwaregroep te voorkomen.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl