Nieuwe ransomware tactiek bedreigt singlefactor accounts
Een recente tactiek van een ransomwaregroep brengt de cyberveiligheid in gevaar door het stelen van gebruikershashes om toegang te verkrijgen tot systemen. Dit meldt Peter Lahousse op het forum van Digital Trust Center (DTC)
Deze methode omvat het versturen van een e-mail met een zip-bestand, dat bij opening door de ontvanger een HTML-bestand onthult met kwaadaardige code. Deze code, die niet wordt gedetecteerd door defensieplatformen omdat het lokaal uitgevoerd wordt, maakt vervolgens verbinding met een IP-adres om een txt-bestand te downloaden dat de aanval initieert en NTLM hashes probeert te stelen.
Tot nu toe is deze techniek alleen effectief bij accounts die gebruik maken van singlefactor-authenticatie, maar de dreiging dat tokens ook gestolen kunnen worden via methoden als Golang Muarena of Evilgnix blijft bestaan.
Voor security professionals is het belangrijk om te weten dat deze aanval detecteerbaar is, met waarschuwingen zoals "Possible target of NTLM credential theft detected", "Password hashes dumped from LSASS memory detected", en "Possible pass the hash detected". Dit onderstreept het belang van waakzaamheid en geavanceerde beveiligingsmaatregelen. [Erik Westhovens, ccinfo]
Over Witold Kepinski
