Check Point Software zag dit weekend een massale serie-aanval op Nederlandse cyberspace waarbij websites van onder andere SVB en CBS werden getroffen door hackersgroep MT ‘voor het beledigen van de Heilige Koran’.
De groep, Mysterious Team Bangladesh (MT), richtte zich in 2022 op websites en servers van de Indiase overheid. De activiteit van de groep is ontdekt door een door AI aangedreven cyberinlichtingenanalysebedrijf, dat meldde dat de aanvallen vergelijkbaar waren met de techniek die werd gebruikt door de Dragon Force-groep, bekend om het gebruik van verschillende scripts voor DDoS-aanvallen en het exploiteren van de HTTP-overstromingsaanvaltechniek, vergelijkbaar met DragonForce. “./404found.my”, een tool die eerder door Dragonforce werd gebruikt om Indiase overheidswebsites aan te vallen, zou nu zijn gebruikt om de aanvallen uit te voeren. Aanvullende details en analyses van de tool zijn uitgevoerd in het TTP-rapport van de DragonForce-groep.
De groep heeft op Twitter aangekondigd dat de lijst met landen die het doelwit zijn, zal worden uitgebreid omdat deze staten de koran niet eerbiedigen.
Grootschalig misbruik ESXi-servers
Tevens vond dit weekend een grootschalige aanval met gijzelsoftware plaats. “De recente aanval op ESXi-servers, waarop virtuele machines draaien, wordt beschouwd als de meest uitgebreide aanval op niet-Windows-machines die ooit is gerapporteerd. De aanvallers maken misbruik van een bekende zwakte, CVE-2021-21974, die op 21 februari was verholpen. De ransomware valt ESXi-servers aan, dit zijn servers die meestal andere servers opslaan, dus de schade zal wijdverspreid zijn”, zegt Zahier Madhar, security engineer expert bij Check Point Software.
“Tot voor kort bleven ransomware-aanvallen uiteindelijk beperkt tot op Windows gebaseerde machines. Het is mogelijk dat aanvallers van ransomware hebben ingezien hoe cruciaal Linux-servers zijn voor organisaties, waardoor ze nu hebben geïnvesteerd in de ontwikkeling van zo’n krachtig cyberwapen.”
