Captain Kirk

De Zwitserse solutionprovider Ascom, dat internationaal actief is, is afgelopen weekend getroffen door een cyberaanval. Aanvallers wisten toegang te krijgen tot het ticketsysteem van het bedrijf. De aanval lijkt het werk te zijn van de groepering HellCat en onderdeel te zijn van een bredere reeks cyberaanvallen. De aanval vond zondag plaats, meldt Ascom in een persbericht. Het meldt daarbij dat de 'HellCat ransomwarebende' op X claimt toegang te hebben verkregen tot de IT-infrastructuur van Ascom. De claim wordt onderzocht door het securityteam van Ascom, dat de toegang tot het ticketsysteem van het bedrijf heeft afgesloten. Het benadrukt dat andere IT- en klantsystemen niet zijn getroffen en de bedrijfsvoering niet is verstoord. '44GB aan data gestolen' De HellCat-groep meldt aan BleepingComputer 44GB aan data te hebben gestolen van Ascom, gerelateerd aan alle divisies van het bedrijf. Het zou onder meer gaan om de broncode van diverse producten, details over projecten, facturen, vertrouwelijke documenten en problemen die in het ticketsysteem worden besproken. Ascom deelt geen technische details over de aanval. BleepingComputer meldt echter dat de groep vaak Jira-systemen op de korrel neemt. Jira is een projectmanagementplatform en maakt het onder meer mogelijk via tickets problemen bij te houden. Het wordt onder meer door softwareontwikkelaars en IT-teams gebruikt voor het beheren en monitoren van projecten. Eerder sloeg de HellCat-groep ook toe bij andere partijen als Schneider Electric, Telefónica, Orange Group en Land Rover Jaguar. bron: https://www.security.nl

De baseboard management controller (BMC) firmware van AMI bevat een kritieke kwetsbaarheid die het mogelijk maakt toegang te krijgen tot servers door authenticatie te omzeilen. Het lek treft servers van diverse fabrikanten, waaronder Asus, Asrock, HPE en Lenovo. Het lek is door AMI gedicht, maar fabrikanten moeten deze patches zelf beschikbaar stellen aan klanten. Het lek (CVE-2024-54085) is ontdekt door Eclypsium, dat zich richt op de beveiliging van hardware zoals dus ook BMC. De BMC stelt beheerders in staat tot het op afstand monitoren en aansturen van apparaten. Zo kunnen zij onder meer firmware updaten en besturingssystemen installeren op systemen zonder fysieke toegang nodig te hebben. AMI is een grote speler op dit vlak; de BMC van AMI is verwerkt in apparaten van een groot aantal fabrikanten. In 2023 ontdekte het bedrijf eveneens twee kwetsbaarheden in de BMC van AMI. Het nu ontdekte lek lijkt veel op een van de in 2023 ontdekte problemen: CVE-2023-34329. Het is onduidelijk of het om een volledig nieuwe kwetsbaarheid gaat, of dat het eerder ontdekte probleem niet volledig is verholpen. Malware uitrollen, firmware aanpassen en fysieke schade aanrichten De kwetsbaarheid treft de Redfish-managementinterface en maakt het mogelijk de authenticatie te omzeilen. Gezien de mogelijkheden die de BMC biedt is het lek dan ook kritiek; aanvallers kunnen onder meer malware op systemen uitrollen, de firmware aanpassen en door voltages aan te passen zelfs fysieke schade toebrengen aan het apparaat. Een patch is inmiddels beschikbaar gesteld door AMI. OEM's moeten deze patch zelf beschikbaar stellen aan hun klanten. Zowel HPE als Lenovo hebben dit inmiddels gedaan. bron: https://www.security.nl

Veeam Backup & Replication bevat twee kwetsbaarheden die het mogelijk maken op afstand code uit te voeren. De lekken kunnen worden uitgebuit door gebruikers die toebehoren aan de local user-group op de Windows-host van de Veeam server. Indien de server is toegevoegd aan het domein, kunnen alle gebruikers van dit domein de kwetsbaarheden uitbuiten. Een patch die de problemen verhelpt is inmiddels beschikbaar. Hiervoor waarschuwt Watchtowr. De kwetsbaarheden zijn volgens het beveiligingsbedrijf terug te leiden naar een breder probleem in het deserialisatiemechanismen van Veeam. De onderzoekers hekelen het gebruik van een blacklist door Veeam voor het blokkeren van deserialisatieproblemen. Zij stellen dat het bedrijf juist een whitelist zou moeten hanteren. "Als branche weten we dat ongecontroleerde deserialisatie altijd tot problemen leidt. Dit is waarom je altijd strenge controle moet implementeren op de klassen die worden gedeserialiseerd. Ideaal gezien zou dit een whitelist moeten zijn die alleen de deserialisatie van geselecteerde klassen toestaat. Hoewel de Veeam-oplossing in kwestie dit technisch gezien doet, leidt een van de toegestane klassen tot interne deserialisatie, die vervolgens een controle op basis van een blacklist implementeert", schrijft het bedrijf. Te koppelen aan eerder ontdekt lek De ontdekte lekken (beide omschreven als CVE-2025-23120 zijn volgens Watchtowr te koppelen aan de in september 2024 ontdekte kwetsbaarheid CVE-2024-40711, waarmee eveneens op afstand code uitgevoerd kan worden. Ook wijst het bedrijf op een verband met CVE-2024-42455, die geauthenticeerde gebruikers de mogelijkheid geeft onveilige deserialisatie uit te buiten. Watchtowr waarschuwt dat kwaadwillenden dergelijke kwetsbaarheden relatief eenvoudig kunnen identificeren door de codebase van Veeam Backup & Replication te zoeken naar deserialisatiegadgets die niet op de blacklist zijn opgenomen. Het nam de proef op de som en ontdekte zo de twee kwetsbaarheden. De kwetsbaarheden zijn alleen uit te buiten indien een aanvaller zich succesvol weet te authenticeren. Watchtowr stelt echter dat de authenticatievereisten van Veeam Backup & Replication niet sterk zijn, waardoor de lekken desondanks een flink risico opleveren. De kwetsbaarheden zijn verholpen in Backup & Replication version 12.3.1. bron: https://www.security.nl

Aanvallers richten in een langlopende malwarecampagne hun pijlen op WordPress-websites. In acht jaar tijd zijn meer dan 20.000 websites door de campagne getroffen. Eenmaal binnen proberen de aanvallers zo lang mogelijk toegang te houden tot de getroffen sites, onder meer door het updaten van WordPress en verwijderen van eventuele andere malware. Dit blijkt uit een analyse van het securityteam van de Amerikaanse hostingprovider GoDaddy. De campagne wordt 'DollyWay World Domination' genoemd. De campagne bestaat uit diverse aanvallen op WordPress-websites, die op het eerste oog los van elkaar lijken te staan. Onderzoek van GoDaddy wijst echter uit dat deze aanvallen allen dezelfde infrastructuur gebruiken, terwijl ook gebruikte code en monetariseringsmethoden overeenkomen. Gebruikers doorverwijzen naar malafide webpagina's De huidige variant van de gebruikte malware richt zich primair op bezoekers van besmette WordPress-sites. Het injecteert scripts die gebruikers doorverwijzen naar malafide webpagina's. De malware maakt daarbij gebruikt van VexTrio, een van de grootste affiliate-netwerken gericht op cybercriminaliteit. Hoewel de aanvallers zich momenteel voornamelijk richten op het doorverwijzen van gebruikers naar malafide pagina's om geld te verdienen aan hun campagne, is de campagne in het verleden ook ingezet voor het verspreiden van onder meer ransomware en bankingtrojans. Enkele aanvalscampagnes die eerder als losstaande campagnes zijn geïdentificeerd maar volgens GoDaddy onderdeel uitmaken van DollyWay World Domination zijn Master134, Fake Browser Updates en CountsTDS. Deze laatste campagne is ook bekend onder de namen DollyRAT / Backdoor.PHP.DOLLYWAY.A / Multistage WordPress Redirect Kit / R_Evil web shell. bron: https://www.security.nl

Spywarefabrikant SpyX is getroffen door een datalek. De gegevens gerelateerd aan bijna twee miljoen accounts zijn hierdoor uitgelekt. Het gaat onder meer om apparaatinformatie, e-mailadressen, geografische locaties, IP-adressen en wachtwoorden. Dit meldt de website Have I Been Pwned van beveiligingsonderzoeker Troy Hunt. SpyX zet zichzelf in de markt als telefoonmonitoringsoftware voor ouderlijk toezicht. Het meldt daarbij dat het niet nodig is een app te installeren op de smartphone die gebruikers willen monitoren. De spyware richt zich daarbij op de cloudback-up van het apparaat, waaruit het allerlei informatie ophaalt en doorstuurt. Via de app kunnen onder meer locatiegegevens, belgeschiedenis en SMS-verkeer worden ingezien. Have I Been Pwned meldt dat SpyX in juni 2024 is getroffen door een datalek. Daarbij zijn bijna 2 miljoen unieke e-mailadressen getroffen. Daarbij zijn ook inloggevens voor iCloud-omgevingen gerelateerd aan smartphones die via SpyX zijn gemonitord uitgelekt. De wachtwoorden waren daarbij opgeslagen in platte tekst, waarschuwt Have I Been Pwned. In totaal zijn 1,977,011 unieke accounts getroffen door het datalek. bron: https://www.security.nl

Kwaadwillenden maken deze week op grote schaal misbruik van bekende kwetsbaarheden in het Now Platform van ServiceNow. Voor de kwetsbaarheden zijn al updates beschikbaar. De aanvallers richten zich dan ook op partijen die deze patches niet hebben geïnstalleerd en daardoor een verouderde versie van het Now Platform draaien. Hiervoor waarschuwt GreyNoise. Het gaat om drie kwetsbaarheden: CVE-2024-4879, CVE-2024-5217 en CVE-2024-5178. CVE-2024-4879 is een fout in de invoervalidatie van ServiceNow en kan worden uitgebuit om op afstand code uit te voeren op het Now Platform. Een update is al sinds juli 2024 beschikbaar. CVE-2024-5217 is vergelijkbaar met CVE-2024-4879 en maakt ook misbruik van een fout uit in de wijze waarop input wordt gevalideerd. Ook in dit geval maakt dit het mogelijk op afstand code uit te voeren in instances van het Now Platform. Voor dit lek is sinds juni 2024 een update beschikbaar. CVE-2024-4879 en CVE-2024-5217 worden beide ials kritiek beschouwd. Ongeautoriseerde toegang CVE-2024-5178 is een kwetsbaarheid die aanvallers die beheerdersrechten weten te bemachtigen ongeautoriseerde toegang kan geven tot gevoelige bestanden op de webapplicatieserver. Ook voor dit lek, dat is ingeschaald als middelhoog, is sinds juni 2024 een patch beschikbaar. Met name organisaties in Israël lijken doelwit te zijn van de aanvallen. GreyNoise meldt dat 70% van de getroffen systemen zich in Israël bevindt. Ook meldt het bedrijf dat aanvallers door de kwetsbaarheden te combineren volledig toegang kunnen verkrijgen tot de database. Advies Organisaties wordt geadviseerd hun systemen te controleren en de beschikbare updates zo snel mogelijk te installeren om misbruik te voorkomen. bron: https://www.security.nl

Verschillende APT-groepen maken gebruik van een kwetsbaarheid in Windows uit om malafide commando's uit te voeren op machines van slachtoffers via geprepareerde snelkoppelingen. Daarbij verbergen zij command-line-opdrachten in .Ink-bestanden, met als doel malware payloads uit te voeren. Hiervoor waarschuwt Trend Micro via het Trend Zero Day Initiative. Het meldt bijna 1.000 malafide .Ink-bestanden te hebben ontdekt die ZDI-CAN-25373 actief probeerden uit te buiten. Hoewel het lek nu pas is ontdekt, meldt het beveiligingsbedrijf dat de kwetsbaarheid is gebruikt in aanvallen die teruggaan tot 2017. Verschillende APT-groepen uit onder meer Noord-Korea, Iran, Rusland en China lijken gebruik te maken van de kwetsbaarheid. Niet op korte termijn gepatcht Het lek is door Trend Micro gemeld bij Microsoft. Het beveiligingsbedrijf meldt echter dat Microsoft het lek niet op korte termijn zal dichten. Het Amerikaanse bedrijf beoordeelt de ernst van het lek als laag. "Deze kwetsbaarheid is gemeld aan Microsoft via het bug bounty-programma van Trend ZDI; Microsoft heeft dit geclassificeerd als "low severity" en de kwetsbaarheid zal in de nabije toekomst dan ook niet worden gepatcht", schrijft Trend Micro. Trend Micro adviseert organisaties hun systemen te onderzoeken op de aanwezigheid van malafide .Ink-bestanden. Onder meer overheden, private bedrijven, financiële organisaties, denktanks en telecombedrijven zijn doelwit van de aanvallen. bron: https://www.security.nl

Cybercriminelen gaan volgens marktonderzoeker Gartner steeds vaker AI-agents inzetten voor het overnemen van gebruikersaccounts. Daarnaast vormt technologie-gestuurde social engineering een steeds grotere bedreiging voor bedrijven. Gartner verwacht dat cybercriminelen met behulp van AI-agents op termijn gebruikersaccounts 50% sneller kunnen overnemen dan nu het geval is. Bijvoorbeeld door AI-agents geautomatiseerd met behulp van uitgelekte inloggegevens te laten inloggen op een groot aantal websites en online diensten, in de hoop dat de uitgelekte gegevens ergens zijn hergebruikt. Steeds breder ingezet Aanvallers gaan AI-agents daarbij in steeds meer stappen rondom het overnemen van gebruikersaccounts inzetten. Denk daarbij aan social engineering op basis van deepfake-stemmen tot het van A tot Z automatiseren van het uitbuiten van gestolen inloggegevens. Gartner adviseert gebruikers om zich hiertegen te wapenen de overstap te maken naar wachtwoordloze meerfactorauthenticatie (MFA). Indien gebruikers een keuze geboden krijgen tussen verschillende authenticatieopties, adviseert de marktonderzoeker altijd te kiezen voor multidevice passkeys. Deepfakes Daarnaast voorspelt Gartner dat door technologie ondersteunde social engineering een steeds grotere bedreiging gaat vormen voor de digitale veiligheid van bedrijf. Het voorspelt dat bij 40% van de social engineering-aanvallen in 2028 is gericht op managers en werknemers. Steeds vaker zetten zij daarbij deepfake-audio en -video in, onder meer om werknemers om de tuin te leiden. Gartner wijst erop dat hoewel dergelijke aanvallen op dit moment nog schaars zijn, de aanvallen die wel hebben plaatsgevonden tot grote financiële schade hebben geleid bij getroffen partijen. bron: https://www.security.nl

In het contentmanagementsysteem (CMS) Xperience van Kentico zijn een aantal kwetsbaarheden gevonden. Kwaadwillenden kunnen via de beveiligingsproblemen niet alleen authenticatie in het CMS omzeilen, maar ook op afstand code uitvoeren op kwetsbare implementaties. De kwetsbaarheden zijn ontdekt door Watchtowr, leverancier van een Continuous Automated Red Teaming-platform. Het gaat om een tweetal kwetsbaarheden die het mogelijk maken om authenticatie te omzeilen (WT-2025-0006 en WT-2025-0011) en een remote code execution (RCE)-kwetsbaarheid (WT-2025-0007). Niet alle implementaties van Xperience zijn overigens kwetsbaar. Alleen indien de Staging Service op het systeem is uitgeschakeld en deze is geconfigureerd om inloggen met een gebruikersnaam en wachtwoord mogelijk te maken is dit het geval. Watchtowr meldt dat dit een veelvoorkomende configuratie is. Authenticatie omzeilen WT-2025-0006 maakt gebruik van een fout in de wijze waarop het CMS authenticatie afhandelt in de Staging Service API. Door het manipuleren van SOAP-verzoeken kunnen aanvallers zonder geldige inloggegevens toegang krijgen tot Xperience. WT-2025-0011 maakt het mogelijk in te loggen met uitsluitend een gebruikersnaam, zonder dat een wachtwoord hoeft worden ingevoerd. Eenmaal binnen kunnen aanvallers een WT-2025-0007 inzetten om code uit te voeren op het systeem. Deze kwetsbaarheid maakt gebruik van een fout in een functionaliteit voor het uploaden van media naar het CMS. Deze fout maakt het mogelijk om bestanden weg te schrijven naar het bestandssysteem van de server. De kwetsbaarheden zijn in verschillende updates voor Kentico opgelost. Zo is WT-2025-0006 gedicht in Xperience 13.0.173, terwijl WT-2025-0011 en WT-2025-0007 zijn verholpen in Xperience 13.0.178. bron: https://www.security.nl

De remote access tool (RAT) StilachiRAT zet geavanceerde technieken in om onder de radar te kunnen opereren. De data richt zich op de diefstal van gevoelige informatie, waaronder inloggegevens, digitale wallets, data uit het clipboard en systeeminformatie. Na infectie nestelt de RAT zich daarnaast diep in het systeem, wat het verwijderen van de malware bemoeilijk. Dit blijkt uit een analyse van Microsoft Incident Response, een team van Microsoft dat klanten ondersteunt bij cyberaanvallen. Het is onduidelijk wie voor de StilachiRAT verantwoordelijk is; Microsoft meldt nog niet erin geslaagd te zijn de RAT aan een specifieke actor toe te schrijven. Niet breed verspreid De onderzoekers melden vooralsnog geen brede verspreiding van de RAT te zien. Door de uitgebreide technieken die het inzet om onder de radar te blijven en snelle ontwikkelingen in het malware-ecosysteem wil het team echter desondanks informatie over de malware delen. StilachiRAT verzamelt onder meer informatie over het systeem dat het heeft geïnfecteerd. Denk daarbij aan details over het besturingssysteem, gebruikte hardware, aanwezigheid van camera's, actieve Remote Desktop Protocol (RDP)-sessies en applicaties die op het systeem draaien. Daarnaast scant de RAT het systeem op de aanwezigheid van digitale wallet-extensies voor de webbrowser Google Chrome. Ook steelt het inloggegevens die zijn opgeslagen in Google Chrome. Aansturing via C2-server Daarnaast zet de RAT communicatie op met zijn command-and-control-server (C2-server). Vanaf deze server kan de aanvaller de malware aansturen om diverse activiteiten uit te voeren op het systeem. Denk daarbij aan het herstarten van het systeem, manipuleren van de registry, opschonen van logbestanden en opstarten van applicaties. Ook neemt StilachiRAT maatregelen om het verwijderen van de malware te bemoeilijken. Zo maakt het gebruik van Windows service control manager (SCM) om zichzelf na verwijdering opnieuw op het systeem te installeren. Ook neemt het maatregelen om detectie te vermijden. Onder meer door eventlogs te wissen en gericht te zoeken naar de aanwezigheid van detectietools. bron: https://www.security.nl

De hoeveelheid ClickFix-aanvallen, ook bekend als ClearFix-aanvallen, groeit snel en wordt door steeds meer aanvallers ingezet. Onder meer diverse APT-groepen die banden onderhouden met overheden zetten de aanvalsmethode in. Hiervoor waarschuwt Group-IB, dat de aanvallen analyseerde. In een blogpost deelt het zijn bevindingen. ClickFix is een social engineering-techniek waarbij gebruikers worden overtuigd PowerShell-commando's uit te voeren op hun systeem. In veel gevallen gebruiken aanvallers daarbij het clipboard van gebruikers. De techniek is voor het eerst waargenomen in oktober 2023, en wint sinds eind 2024 sterk aan populariteit. ClickFix-aanvallen maken vaak gebruik van valse reCAPTCHA-pagina's en andere vormen van bescherming tegen bots. SMOKESABER Group-IB omschrijft in zijn blogpost diverse aanvallen die de ClickFix-methode gebruiken. Een voorbeeld van een vroegtijdig incident met de aanvalsmethode die Group-IB omschrijft vond plaats in augustus 2024 en wordt 'SMOKESABER' genoemd. Aanvallers serveerden hierbij gebruikers van diverse website met valse reCAPTCHA's, waarmee gebruikers om de tuin werden geleid een reeks verborgen PowerShell-commando's uit te voeren op hun systeem. Deze commando's laden in de praktijk een downloader, die op zijn beurt de Lumma C2 infostealer op het systeem installeert. Voor het opzetten van ClickFix-aanvallen gebruiken aanvallers diverse methoden. Enkele voorbeelden zijn spearphishing en social engineering voor het verleiden van gebruikers om op malafide links te klikken en malafide advertenties op popups te serveren of gebruikers direct door te sturen naar malafide websites. Denk echter ook aan het opzetten van phishingwebsites, het toevoegen van bijvoorbeeld een valse reCAPTCHA aan een legitieme gecompromitteerde website of spam op social media. bron: https://www.security.nl

7.966 nieuwe kwetsbaarheden zijn afgelopen jaar in het WordPress-ecosysteem ontdekt, een stijging van 34% ten opzichte van een jaar eerder. De beveiligingsproblemen zaten met name in plugins van derde partijen. Dit blijkt uit cijfers verzameld door PatchStack, een WordPress vulnerability intelligence provider. Het stelt dat het merendeel van de kwetsbaarheden in de praktijk geen actief risico opleveren. Het aantal ernstige kwetsbaarheden is echter ook met 11% gestegen. 96% van de kwetsbaarheden is ontdekt in plugins, terwijl 4% in thema's zat. Slechts zeven van de 7.966 beveiligingsproblemen zat in WordPress zelf. Lek vaak niet gedicht voor openbaarmaking Uit de cijfers is ook op te maken dat veel ontwikkelaars kwetsbaarheden niet dichten voordat zij een lek openbaar maken. Het wijst daarbij op de Europese Cyber Resilience Act, waarvan de eerste vereisten vanaf 2026 van kracht zijn. De werkwijze van ontwikkelaar kan in strijd zijn met deze wetgeving, waarschuwt PatchStack. bron: https://www.security.nl

Apache Tomcat-servers zijn kwetsbaar voor een nieuw ontdekte remote code execution (RCE)-kwetsbaarheid. Kwaadwillenden kunnen via een PUT API-verzoek de servers overnemen. Een exploit is al gepubliceerd op internet. Hiervoor waarschuwt Wallarm, dat zich richt op API-beveiliging. De kwetsbaarheid (CVE-2025-24813) is in twee stappen uit te buiten. Allereerst upload een kwaadwillende een malafide sessiebestand naar de server, met als payload een base64-encoded ysoserial gadget chain. Dit verzoek schrijft het bestand weg naar de opslag voor sessiedata op de Tomcat-server. Stap twee bestaat uit het deserialiseren van het bestand door een GET-verzoek te versturen met de JSESSIONSID die naar de malafide sessie verwijst. De Tomcat-server haalt vervolgens het opgeslagen bestand op, deserialiseert dit en voert de embedded Java-code uit. Dit geeft de aanvaller toegang tot de server. Wallarm stelt dat de aanval erg eenvoudig uitvoerbaar is. De enige vereiste is dat de Tomcat-server file-gebaseerde sessieopslag gebruikt, wat in veel implementatie het geval is. Ook weet de aanval de meeste traditionele securityfilters te omzeilen, waardoor de aanval moeilijk detecteerbaar is. Zo ziet het PUT-verzoek er normaal uit en bevat geen duidelijk kwaadaardige content, is de payload 64base-gecodeerd wat patroon-gebaseerde detectie bemoeilijkt en bestaat de aanval uit twee stappen waarbij het schadelijke deel van de aanval pas tijdens de deserialisatie wordt uitgevoerd. bron: https://www.security.nl

Beveiligingsonderzoeker Yohanes Nugroho meldt een decryptor te hebben ontwikkeld voor de Linux-variant van de Akira-ransomware. De decryptor maakt gebruik van GPU's voor het achterhalen van de encryptiesleutels, om zo versleutelde data weer toegankelijk te maken. De decryptor is door Nugroho ontwikkeld nadat hij door een vriend om hulp werd gevraagd. Veel andere decryptietools ontsleutelen gegijzelde bestanden nadat de gebruiker de encryptiesleutel opgeeft. De decryptor die Nugroho nu deelt kraakt echter de encryptiesleutels die de Akira-ransomware gebruikt. Vier seeds gebaseerd op tijdstempel in nanoseconden Akira-ransomware genereert unieke encryptiesleutels voor ieder bestand dat het versleutelt met behulp van vier verschillende seeds, gebaseerd op de tijdstempel in nanoseconden. Het hasht deze door 1.500 rondes van SHA-256. Deze sleutels worden vervolgens versleuteld met RSA-4096 en toegevoegd aan het einde van elk versleuteld bestand. Doordat de seed is gebaseerd op de tijd in nanoseconden is het via brute force kraken van de sleutels zeer tijdrovend, aangezien er meer dan een miljard mogelijke waarden per seconde zijn. Ook versleutelt Akira meerdere bestanden gelijktijdig via multi-threading, wat het bepalen van de gebruikte tijdstempel verder bemoeilijkt. Aantal mogelijke seeds terugdringen Door logbestanden te analyseren wist de onderzoeker te achterhalen wanneer de ransomware was uitgevoerd en wanneer het encryptieproces was afgerond, en zo het aantal mogelijke seeds terug te dringen. Door encryptiebenchmarks uit te voeren op verschillende soorten hardware wist Nugroho het aantal mogelijke seeds daarnaast nog verder in te perken. Dankzij deze informatie slaagde hij erin met behulp van cloudgebaseerde GPU-diensten de encryptiesleutels in ongeveer 10 uur te kraken. Hij maakte daarbij gebruik van zestien RTX 4090 GPU's. Dit proces kostte ongeveer 1.200 dollar. De decryptor is door Nugroho op GitHub beschikbaar gemaakt, inclusief instructies voor het gebruik van de decryptor. Een uitgebreide analyse van het kraken van de encryptiesleutels is hier te vinden. bron: https://www.security.nl

Een populaire GitHub Action genaamd tj-actions/changed-files GitHub Action is door een aanvaller gemanipuleerd. Door code aan te passen wist de aanvaller een malafide script te laten uitvoeren dat is geschreven voor het stelen van CI/CD-secrets. Hiervoor waarschuwt StepSecurity, dat zich specifiek richt op de beveiliging van GitHub Actions. Dit is een tool voor het automatiseren van GitHub-workflows. Zo kan je met een GitHub Action bijvoorbeeld het testen van een applicatie na het toevoegen van nieuwe code automatiseren. CI/CD-secrets in logbestanden opnemen StepSecurity meldt dat de aanval specifiek tj-actions/changed-files GitHub Action treft. Een aanvaller is op 14 maart geslaagd in het aanpassen van de code van deze GitHub Action. De malafide code laadt een Python-script, dat ervoor zorgt dat CI/CD-secrets in build logs van GitHub Actions worden opgenomen. Indien deze logs openbaar toegankelijk zijn, bijvoorbeeld via openbare repositories, zijn deze secrets hierdoor vrij toegankelijk via internet. Het bedrijf meldt in logs van diverse openbare repositories inmiddels daadwerkelijk secrets te hebben aangetroffen. Tegelijkertijd meldt het geen bewijs te hebben dat de gelekte secrets daadwerkelijk door kwaadwillenden zijn buitgemaakt. Alternatieve GitHub Action beschikbaar Om te helpen met het mitigeren van de aanval stelt StepSecurity een vervanger voor de getroffen GitHub Action beschikbaar. Het adviseert alle instances van tj-actions/changed-files hiermee te vervangen. Het meldt ook dat het merendeel van de tj-actions/changed-files gecompromitteerd zijn. bron: https://www.security.nl