Would you like to earn millions of dollars?

Sånn starter en melding lagt igjen til brukere hos et nylig LockBit2.0 ransomware-offer.

Would you like to earn millions of dollars? Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company. You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. Open our letter at your email. Launch the provided virus on any computer in your company. Companies pay us the foreclosure for the decryption of files and prevention of data leak. You can communicate with us through the Tox messenger

LockBit2.0, juli 2021

Brukernavn og passord på avveie, passordgjetting basert på tidligere passordlekkasjer (credential stuffing), utnyttelse av kjente sårbarheter, og kjøpt tilgang – det er de vanligste angrepsvektorene som benyttes i dagens ransomware-angrep. Disse angrepsvektorene kan virksomheter motvirke gjennom generell cyberhygiene, som håndheving av en moderne passordpolicy, bruk av 2-faktor ved innlogging, samt tidsriktig installasjon av sikkerhetsoppdateringer. Rekruttering av latente innsidetrusler krever andre tiltak.

Datalekkasje via kommersielle filopplastingstjenester

I dag ble det kjent at en norsk virksomhet med ca 3000 ansatte har blitt offer for HiveLeaks ransomware, som hevder å ha eksfiltrert ca 500 GB data fra virksomhetens systemer. HiveLeaks har en interessant ting til felles med LockBit2.0, som Secunor nylig møtte på i en hendelseshåndtering, og det er eksfiltrasjon via allment tilgjengelige filopplastingstjenester.

Hvor god er reaksjonsevnen din?

The DFIR Report skrev nylig en artikkel om en økonomisk motivert trusselaktør, sannsynligvis gruppa/samlingen som kalles TA551. Bruken av malspam, skadevare og andre verktøy er på ingen måte oppsiktsvekkende eller nyhetsverdig, men at det tar én time fra en bruker lures til å åpne et ondsinnet Word-dokument til trusselaktøren har skaffet seg kontroll over infrastrukturen, er definitivt noe å stoppe opp og tenke over. Dersom tilsvarende ikke ble fanget opp av sikringstiltakene i din infrastruktur, og fikk lov til å utfolde seg på samme måten – hva hadde resultatet blitt? Hvor god er reaksjonsevnen din?