Erik Westhovens: SafePay misbruikt kwetsbaarheden in Fortigate VPN systemen

Erik Westhovens, een vooraanstaand securityspecialist en co-auteur van het boek Ransomwared, waarschuwt op LinkedIn dat SafePay zich ontpopt als een "rising star in Ransomware land". De groepering schuwt niet om uiterst vertrouwelijke data openbaar te maken om extra druk uit te oefenen op slachtoffers, wat de reputatie- en operationele schade aanzienlijk vergroot. "Wanneer zo'n groepering opeens snel veel slachtoffers maakt," stelt Westhovens, "wijst dat op een specifieke methode waarmee ze snel en diep een omgeving kunnen binnendringen."

Volgens Westhovens ligt de sleutel tot het succes van SafePay in misbruik van kwetsbaarheden in Fortigate VPN-systemen van Fortinet. "Bij SafePay is dat via Fortigate VPN waar een aantal zero-days in opgedoken zijn die niet goed te patchen waren. En als ze eenmaal in je VPN zitten, dan ben je het haasje," legt Westhovens uit. De aanvallers kunnen hierdoor in korte tijd doordringen tot het hart van de netwerkinfrastructuur, waar ze snel en doeltreffend toeslaan.

Group Policy Objects (GPO's)

De modus operandi van SafePay omvat de implementatie van een uitvoerbaar bestand, genaamd Vgod.exe, waarin een DLL-bestand, locker.dll, is geïntegreerd. Dit DLL-bestand is verantwoordelijk voor het versleutelen van alle apparaten binnen het getroffen netwerk. De snelheid waarmee SafePay opereert, wordt verder vergroot door hun vermogen om de 'locker' via Group Policy Objects (GPO's) te implementeren. "Omdat ze via de VPN zo diep in de omgeving zitten, kunnen ze de locker snel via GPO's deployen," aldus Westhovens.

Als cruciale preventieve maatregel adviseert Westhovens organisaties om met regelmaat hun 'default domain policy' te controleren op ongeautoriseerde wijzigingen. "Kijk naar het timestamp en maak intern afspraken dat als er iemand iets doet aan de policy, dat dat vastgelegd wordt," benadrukt hij. Deze proactieve controle kan helpen om afwijkingen snel te detecteren en potentiële aanvallen in een vroeg stadium te onderscheppen.

De volgende Indicators of Compromise (IOC's) zijn in verband gebracht met de SafePay-aanvallen en dienen door organisaties te worden gemonitord:

IP-adressen:

• 206.217.206[.]10
• 206.217.206[.]57
• 38.180.62[.]88
• 68.235.46[.]80
• 52.26.33[.]146
• 80.78.28[.]63
• 45.91.201[.]247
• 80.78.28[.]63
• 167.235.225[.]149

Hash (Vgod.exe):

• a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526

Van locker.dll is op dit moment nog geen hash bekend.

Deze aanval op Ingram Micro onderstreept de voortdurende evolutie van cyberdreigingen en de noodzaak voor bedrijven om hun cyberbeveiligingsstrategieën continu aan te passen en te versterken.