Innovatie & Strategie

Security
ransomware

Gerichte ransomware-aanval raakt lokale overheden VS

Lokale overheden zijn rijpe doelwitten voor ransomware, ondervinden gemeenten nu in de VS.

ransomware © CC0: Pixabay,  Tumisu
19 augustus 2019

Lokale overheden zijn rijpe doelwitten voor ransomware, ondervinden gemeenten nu in de VS.

Een gecoördineerde infectie van ransomware raakt lokale overheidsinstanties in de Amerikaanse staat Texas. In totaal zijn 23 gemeenten en kleinere overheden met succes op de korrel genomen door digitale afpersers. Onderzoek en herstelwerk loopt nog, maar volgens staatswoordvoerders zit er een enkele aanvalsgroep achter deze ransomwaregolf.

"Op dit moment wijst het vergaarde bewijs erop dat de aanvallen komen van een enkele threat actor", luidt de verklaring die het Texas Department of Information Resources (DIR) afgelopen weekend heeft gegeven. Afgelopen vrijdag zijn meer dan twintig organisaties met de melding gekomen dat zij slachtoffer zijn van een ransomware-aanval. "Het merendeel van deze organisaties waren kleinere, lokale overheden."

Nu eerst herstel

Het onderzoek naar de daders en hoe hun malware is binnengekomen bij de getroffen lokale overheden loopt nog. De prioriteit nu ligt bij het voorkomen van verdere infecties en het herstellen van versleutelde data. Systemen van de staatsoverheid van Texas zijn volgens verklaringen van overheidswoordvoerders aan Amerikaanse media níet geraakt door deze golf van ransomware-aanvallen. Het lijkt er daarmee op dat de digitale afpersers doelbewust mikken op kleinere overheden waar ICT-beveiliging mogelijk minder goed op orde is.

Het is niet bekend gemaakt welke overheidsinstanties zijn geraakt en of het alleen om bestandsversleuteling gaat of om complete computergijzeling. Ook is het onbekend of en wat voor losgeldbedragen er worden geëist. Volgens een lokale bron van techtitel ZDNet gaat het om gijzeling van bestanden, die na encryptie door de ranswomare zijn voorzien van de .JSE-extensie. De zogeheten .jse-ransomware is eerder al opgedoken en wordt door veel antivirussoftware wel gedetecteerd - en geblokkeerd.

Via gerichte nepmails?

Opvallend genoeg zou er daarbij lang niet altijd sprake zijn van een meldingsscherm met losgeldeis. Hierdoor lijkt er eerder sprake te zijn van sabotage dan van geldgerichte afpersing door cybercriminelen of door buitenlandse mogendheden. Ongeacht herkomst en doel van deze ransomware benadrukt het Texaanse IT-departement dat iedere werknemer medeverantwoordelijk is voor cybersecurity. Waakzaamheid is geboden, waarbij het advies wordt gegeven om verdachte of onverwachte links en attachments in e-mails niet te openen.

Ook geeft het Texas DIR in de statusupdate over de ransomware-aanvallen uit hoe hyperlinks in e-mails gecontroleerd kunnen worden op hun eindbestemming; of dat wel leidt naar de verwachte site. "Wees je ervan bewust dat kwaadaardige figuren proberen om zich voor te doen als legitiem personeel", met daarbij de tip om namen van mail-afzenders te controleren. Dit en andere aangedragen best practices voor cybersecurity doen vermoeden dat de ransomware bij de lokale overheden is binnengekomen via op maat gemaakte phishingmails.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.