Beveiligingnieuws Logo

Onze partners

Advancis

Sequrix

CDVI

Gold-IP

Avigilon Alta

Distri Company

Multiwacht

SOBA

Milestone

Seagate

Service Centrale Nederland

Optex

Trigion

G4S

Hikvision

Seris

Add Secure

Ajax Systems

Unii

Network Optix

PG Security Systems

VGN Group

HID

MOBOTIX

Secusoft

ARAS

Centurion

SmartSD

BHVcertificaat.online

Dero Security Products

Regio Control Veldt

EAL

Genetec

Bydemes

VAIBS

ASSA ABLOY

CSL

VEB

Masset

Paxton

Alarm Meldnet

Connect Security

Intrasec

Top Security

VBN

Hanwha Vision Europe

Bosch Security Systems

Lobeco

VideoGuard

HD Security

NIBHV

Eagle Eye Networks

2N

Traka ASSA ABLOY

IDIS

Alphatronics

Oribi ID Solutions

Uniview

Aritech

Kidde Commercial

NetworxConnect

SMC Alarmcentrale

Akuvox

Nenova

ASIS

Crown Security Services

Brivo

i-Pro

ADI

OSEC

Paraat

VVNL

Eizo

Securitas

SmartCell

Samenwerkingsverband vindt slachtoffers van ransomware Cactus

25 april 2024
Redactie
11:03

Uit gezamenlijk onderzoek van de cybersecuritybedrijven Fox-IT, Northwave en Responders, in het kader van project Melissa, zijn Nederlandse slachtoffers geïdentificeerd van de ransomwaregroepering ‘Cactus’. Project Melissa is een samenwerking tussen het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven.

Sinds eind 2023 zijn wereldwijd verschillende aanvallen van Cactus bekend. Omdat vanuit het samenwerkingsverband Melissa maandelijks ransomware statistieken onderling worden gedeeld, is gebleken dat er minimaal tien Nederlandse organisaties slachtoffers zijn van Cactus. Dit betreft de periode tot en met maart 2024. Om meer slachtoffers te voorkomen hebben de cybersecuritybedrijven Fox-IT, Northwave en Responders hun (technische) informatie in de vorm van ‘Indicators of compromise’ (IOC’s) in april met elkaar gedeeld. Een IOC is een stukje informatie dat wijst op een mogelijke inbreuk op de beveiliging of een cyberaanval. Uit een gezamenlijke analyse, waarbij ook ESET Nederland werd betrokken, bleek dat de slachtoffers op steeds dezelfde manier werden aangevallen (gecompromitteerd). Een zogenaamde Qlik Sense server, als onderdeel van de IT-omgeving, bleek bij alle slachtoffers niet voorzien van de laatste versie. Zo kon deze gebruikt worden door Cactus om ongeoorloofd binnen te dringen in de IT-omgeving van de slachtoffers. Het verkrijgen van toegang is een belangrijke eerste stap voor de uitvoering van een geslaagde ransomware-aanval.

Identificatie en notificatie Nederlandse organisaties
Fox-IT heeft vervolgens door middel van fingerprinting geïdentificeerd welke servers kwetsbaar, of mogelijk al misbruikt zijn door Cactus, en vervolgens hierop het internet gescand. De resultaten hiervan zijn gedeeld met het Dutch Institute for Vulnerability Disclosure (DIVD), het NCSC en het Digital Trust Center (DTC). Hierop zijn door het DTC de Nederlandse bedrijven op de hoogte gebracht , zodat ze (tegen)maatregelen konden nemen om deze kwetsbaarheid te verhelpen. Door het zo snel mogelijk bijwerken van de Qlik Sense server is het voor de cybercriminelen niet meer mogelijk om in het netwerk van het potentiële slachtoffer te dringen, waardoor een ransomware-aanval kan worden voorkomen. Daarnaast zijn verschillende buitenlandse Computer Security Incident Response Teams (CSIRTs) door het DIVD geïnformeerd en buitenlandse politiediensten door de Nederlandse politie over de kwetsbare servers en de bijbehorende IP-adressen. Zij kunnen op hun beurt organisaties informeren om de kwetsbaarheid zo snel mogelijk te verhelpen. onderzoek vanuit Melissa wijst uit dat er wereldwijd zo’n 5200 Qlik Sense-servers te benaderen zijn via het internet, waarvan er meer dan 3100 kwetsbaar zijn. De samenwerking heeft dus in potentie maximaal 3100 slachtoffers van ransomwaregroepering Cactus helpen voorkomen.  Van de 3100 kwetsbare servers zijn er wereldwijd al 122 uitgebuit (door aannemelijk Cactus), waarvan ook verschillende in Nederland.
Willem Zeeman, Fox-IT: “Deze ontdekking onderschrijft het belang van het goed samenwerken in het cybersecuritydomein. Het onderling vertrouwen door initiatieven zoals project Melissa is zeer significant toegenomen, waardoor het beter dan ooit mogelijk is die gezamenlijke vuist tegen cybercriminaliteit te vormen.”

Producenten van apparaten en software zijn doorlopend bezig om hun producten door te ontwikkelen. Door middel van updates komen de nieuwste functionaliteiten bij de eindgebruikers terecht. Ontdekte kwetsbaarheden of een betere beveiliging worden ook via updates aangeboden. Installeer dus in elk geval altijd direct de meest recente beveiligingsupdates zodat je zo goed als mogelijk beveiligd bent. Het advies voor deze kwetsbaarheid is te vinden op de website van het NCSC.

Deel dit artikel via:

Vlog

Premium partners

Suricat

Videoguard

Seagate

SequriX

Artitech Kidde Commercial

Distri Company

Wordt een partner