Uit gezamenlijk onderzoek van cybersecuritybedrijven Fox-IT, Northwave en Responders, in het kader van het samenwerkingsverband Melissa, zijn Nederlandse slachtoffers geïdentificeerd van de ransomwaregroepering ‘Cactus’.
Project Melissa is een samenwerking tussen het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse cybersecuritybedrijven.
Ransomwaregroepering Cactus
Ransomwaregroepering Cactus heeft van eind 2023 tot en met maart 2024 wereldwijd verschillende aanvallen gepleegd. In het samenwerkingsverband Melissa worden maandelijks ransomwarestatistieken gedeeld en geanalyseerd. Uit deze data is nu bekend geworden dat er ook Nederlandse organisaties slachtoffer zijn van ‘Cactus’. Zij zijn door het Digital Trust Center (DTC) op de hoogte gebracht.
Om meer slachtoffers te voorkomen hebben de cybersecurity bedrijven Fox-IT, Northwave en Responders hun (technische) informatie in de vorm van ‘Indicators of compromise’ (IOC’s) in april met elkaar gedeeld. Een IOC is een stukje informatie dat wijst op een mogelijke inbreuk op de beveiliging of een cyberaanval. CVNL heeft een bericht op haar website geplaatst met meer toelichting.
> LEES OOK: Meerderheid ransomware-slachtoffers in 2023 geen back-up
Kwetsbaarheid in QlikTech – Qlik Sense
Uit een gezamenlijke analyse, waarbij ook ESET Nederland werd betrokken, bleek dat de slachtoffers steeds op dezelfde manier werden gecompromitteerd. Een zogenaamde Qlik Sense server, als onderdeel van de IT-omgeving, bleek bij alle slachtoffers niet voorzien van de laatste versie. Zo kon deze gebruikt worden door Cactus om ongeoorloofd binnen te dringen in de IT-omgeving van de slachtoffers. Het NCSC heeft een beveiligingsadvies uitgebracht over deze kwetsbaarheid. QlikTech heeft updates uitgebracht om de kwetsbaarheden te verhelpen in alle ondersteunde versies van Qlik Sense.
> LEES OOK: Servers neergehaald van ‘s werelds grootste ransomware groepering
Samenwerkingsverband Melissa
Het samenwerkingsverband houdt in dat de partijen op structurele basis informatie met elkaar uitwisselen en actuele ontwikkelingen frequenter delen en bespreken. In oktober 2023 is de samenwerking officieel bestendigd in een convenant. Hierin zijn de juridische, organisatorische en technische afspraken van dit samenwerkingsverband vastgelegd. De samenwerking is in 2021 al gestart en leidde eerder tot succesvolle operaties als Deadbolt, Genesis Market, Qakbot en recentelijk Lockbit. Ook zijn er verschillende whitepapers gepubliceerd.
Cybersecuritybedrijven die samenwerken binnen Melissa zijn: Computest Security, Data Expert, Deloitte, Fox-IT, Kennedy Van der Laan, NFIR, Northwave, Responders, Tesorion, Trellix.
Bron: Nationaal Cyber Security Centrum (NCSC)
Volg Security Management op LinkedIn