Heeft u de eerste volledige werkweek weten te overleven? En heeft u al de hele week halsreikend uitgekeken naar een nieuwe Rootsec blog? Dat is dan mooi, want hier zijn we weer. Dit jaar zijn we overigens voornemens om met meer te komen dan enkel een wekelijkse blog, daarover later meer. Maar als u daarvan op de hoogte wilt blijven dan raad ik u aan om ons te volgen. Over tot de orde van de dag, waar gaan we het over hebben? Nou onder meer over de gratis telefoons vol met malware die de Amerikaanse overheid uitdeelt en behandelen we de ransomware aanval bij GWX Travelex.

Gratis telefoon met malware voor iedereen

Wanneer ik mensen over een gratis telefoon hoor praten dan leg ik toch al snel de link met loverboys. Nou wil ik de Amerikaanse president Trump niet per definitie een loverboy noemen, maar toch, grab them by the enzo. Waar ik heen wil met deze rare inleiding? Amerikaanse huishoudens met een laag inkomen kunnen een gratis Android telefoon bij hun telecomprovider aanvragen. Het gaat hier om de UMX U686CL die verkrijgbaar is via Assurance Wireless, onderdeel van Virgin Mobile USA. Dit klinkt natuurlijk als een mooi gebaar ware het niet dat het ding propvol met vooraf geïnstalleerde malware staat. Volgens Malwarebytes, die de telefoon onderzochten, zijn verschillende apps op het toestel kwaadaardig. Zo is de app die het besturingssysteem van updates voorziet, genaamd Wireless Update, geïnfecteerd met malware.  Zodoende kan de app zonder toestemming aanvullende apps op het toestel installeren.

Dit is op z’n zachts gezegd niet best, maar daar houdt het niet op. Zelfs de “settings” app op de telefoon is besmet en wordt door Malwarebytes omschreven als een “Trojan Dropper”. De app deelt allerlei code met andere Trojan Droppers die al eerder zijn ontdekt. Nog een fijn saillant detail, het is onmogelijk om deze applicatie te verwijderen van de telefoon. De Wireless Update app is eventueel wel te verwijderen maar dan loopt de gebruiker het risico dat de telefoon geen belangrijke beveiligingsupdates meer ontvangt en daar wordt je telefoon nou ook niet veiliger van. Het is vooralsnog onduidelijk of de Chinese fabrikant op de hoogte is van het feit dat de malware standaard op telefoons wordt meegeleverd. Een reactie blijft vooralsnog uit. Zou het dan toch kloppen dat niets écht gratis is?

Eindelijk een echte les geleerd op Universiteit Maastricht

Vorige week hebben we een volledige blog stilgestaan bij de ransomware-infectie van de Universiteit Maastricht. Inmiddels zijn alle problemen opgelost en werken de systemen weer. Echter kwamen ze gisteren met een opvallend statement. Zo zijn ze voornemens om de lessen die het naar aanleiding van de aanval heeft geleerd openbaar te maken.

“De UM verwacht over enkele weken de lessen die zijn geleerd naar aanleiding van de inbreuk op de computersystemen wereldkundig te kunnen maken. Ten behoeve van onszelf, maar ook van de academische collega’s en andere betrokkenen. En ook richting de media”

Het zal ook dan zijn dat de Universiteit Maastricht antwoord zal geven op vragen waar het voorheen geen antwoord op kon geven. De vraag die natuurlijk op iedereens lippen ligt is “is er losgeld betaald aan de aanvallers?”. Hier is vooralsnog namelijk geen duidelijk antwoord op gegeven ondanks dat het Universiteitsblad Observant wist te vermelden dat het om enkele tonnen ging. De verwachting is dat dit alles zal plaatsvinden op 6 februari. Als Rootsec zijnde vinden we dit een goede stap. Zodoende zeg je niet enkel “wij hebben fouten gemaakt en ervan geleerd” maar geef je anderen ook de nodige lesstof en wie weet waar dit in de toekomst nog voor kan dienen.

Ook GWX kan drie keer niks

Geldwisselaar GWX Travelex is slachtoffer geworden van ransomware en datadiefstal. Dit lijkt een beetje het thema van dit jaar te worden, maar goed. Op 31 december werd het bedrijf getroffen door ransomware waardoor er geen transacties via de online platformen konden worden uitgevoerd. In een eerste verklaring van Travelex sprak men over “IT-problemen” (niks aan gelogen). In een latere verklaring gaven ze de malware-aanval wel toe. GWX is besmet met de Sodinikibi ransomware. Volgens beveiligingsonderzoeker Kevin Beaumont zijn de aanvallers binnengekomen via een Pulse Secure vpn-servers die het bedrijf niet had gepatcht. De daders hebben laten weten dat ze het gehele netwerk hebben versleuteld en daarnaast ook 5GB aan persoonlijke data buit hebben gemaakt. De eis is 3 miljoen dollar om de boel weer te ontgrendelen. Maar nu komt het pijnlijke aan dit hele verhaal. GWX Travelex was namelijk in september van het vorige jaar al gewaarschuwd over het lek in hun vpn-servers. Er verscheen overigens al een beveiligingsupdate voor de kwetsbaarheid in april. Tijd genoeg om de boel even te updaten zou je toch zeggen.

Wij hebben, als Rootsec, wel eens de opmerking gehad van een klant dat hij onze aanbevelingen op het gebied van update-beleid maar overdreven vond. Deze week werd weer op pijnlijke wijze waarom wij tijdens het uitvoeren van onze penetratietesten ook heel erg letten op in hoeverre alles geüpdatet is. Bent u nu wel benieuwd (mogelijk een beetje angstig) geworden over de staat van uw eigen servers, software en hardware? Neem dan contact op en let uw omgeving testen.