Cybersecuritybedrijven Fox-IT, Northwave en Responders hebben in gezamenlijk onderzoek duizenden kwetsbare servers gevonden die ten prooi hadden kunnen vallen aan de ransomwaregroep ‘Cactus’. In Nederland werden zeker zes slachtoffers gevonden.
De ransomwaregroep Cactus is een relatieve nieuwkomer, die sinds maart 2023 vooral slachtoffers maakt onder grote, commerciële bedrijven. De groep maakt gebruik van complexe aanvallen, zegt Northwave in een blog, waarbij geavanceerde technieken worden gebruikt om detectie te voorkomen. De drie cybersecuritybedrijven kwamen er na een gezamenlijke analyse van hun eigen informatie echter achter dat slachtoffers steeds op dezelfde manier worden aangevallen. Bij alle slachtoffers bleek een Qlik Sense-server niet voorzien te zijn van de laatste updates, waardoor de aanvallers via die servers konden binnendringen in de IT-omgeving van het slachtoffer, schrijft branchevereniging Cyberveilig Nederland. Vanaf daar kan de aanval verder worden uitgevoerd.
Om verdere slachtoffers van Cactus te voorkomen, heeft Fox-IT via fingerprinting geïdentificeerd welke servers kwetsbaar waren of mogelijk al misbruikt zijn door Cactus. Vervolgens werd het internet hierop gescand, waarmee wereldwijd zo’n 3.100 kwetsbare Qlik Sense-servers gevonden werden die via het internet te benaderen zijn. 122 daarvan zijn al uitgebuit. In Nederland werden zes systemen gevonden die al getroffen zijn door de Cactus-groep.
De informatie is gedeeld het met Dutch Institute for Vulnerability Disclosure, het Nationaal Cyber Security Center en het Digital Trust Center. Nederlandse bedrijven zijn door deze partijen op de hoogte gebracht, zodat ze de servers kunnen updaten en de kwetsbaarheid kunnen verhelpen. Ook zijn verschillende buitenlandse Computer Security Incident Response Teams door het DIVD geïnformeerd over kwetsbare servers en de bijbehorende IP-adressen, zodat zij organisaties in eigen land kunnen inlichten. De Nederlandse politie heeft dergelijke informatie gedeeld met buitenlandse politiediensten.
Het onderzoek komt voort uit Project Melissa, een samenwerking tussen het Nederlandse Openbaar Ministerie, de politie, het Nationaal Cyber Security Centrum, Cyberveilig Nederland en diverse cybersecuritybedrijven. Als onderdeel van de samenwerking worden maandelijks onderling ransomwarestatistieken gedeeld. “Deze ontdekking onderschrijft het belang van het goed samenwerken in het cybersecuritydomein”, zegt Willem Zeeman van Fox-IT. “Het onderling vertrouwen door initiatieven zoals project Melissa is zeer significant toegenomen, waardoor het beter dan ooit mogelijk is die gezamenlijke vuist tegen cybercriminaliteit te vormen.”