De FBI en het Australische Cyber Security Centre (ACSC) hebben een waarschuwing afgegeven voor aanvallen met Avaddon-ransomware en roepen organisaties op om hun thuiswerkoplossingen beter te beveiligen, aangezien de criminelen hier misbruik van maken (pdf).

Volgens het ACSC hebben de aanvallers achter deze ransomware het voorzien op organisaties in verschillende landen, waaronder België, Duitsland, Frankrijk, Spanje, het Verenigd Koninkrijk en de Verenigde Staten. Nederland wordt niet in het overzicht genoemd. Onlangs werd de Labor Party van New South Wales slachtoffer van de Avaddon-ransomware.

Om toegang tot de systemen van hun slachtoffers te krijgen maken de aanvallers onder andere gebruik van inloggegevens voor vpn en rdp. De FBI benadrukt dat het hier om ‘single-factor’ authenticatie gaat, oftewel alleen een gebruikersnaam en wachtwoord. Ook werden slachtoffers via verkeerd geconfigureerde rdp-systemen gecompromitteerd. Zodra de aanvallers toegang tot het netwerk hebben zoeken ze naar back-ups om die te verwijderen of te versleutelen.

Aanwezige data wordt zowel gestolen als versleuteld. Wanneer organisaties weigeren om het gevraagde losgeld te betalen maken de aanvallers de buitgemaakte gegevens via hun eigen website openbaar. Ook dreigen de aanvallers met ddos-aanvallen, maar die zijn niet door de FBI waargenomen. Organisaties wordt onder andere aangeraden om offsite, offline back-ups te maken en tweefactorauthenticatie in te schakelen.

Source