‘Cybercriminelen vallen Pulse Secure VPN-servers aan’

Een Britse beveiligingsonderzoeker waarschuwt dat criminelen proberen een bekend beveiligingslek in de VPN-software Pulse Connect Secure van Pulse Secure te infecteren met ransomware.

Het gaat om cybercriminelen die de zogenoemde REvil (Sodinokibi) ransomware gebruiken om bestanden en systemen te versleutelen via ongepatchte Pulse Secure VPN-servers. Een bekend slachtoffer is geldwisselbedrijf Travelex dat deze week door ransomware werd platgelegd.

Het lek in de VPN-software is al maandenlang bekend. In april 2019 werd wereldwijd gewaarschuwd voor kwetsbaarheden in VPN-software van Pulse Secure, Cisco, Palo Alto Networks en F5 Networks. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de ernst met een 10 beoordeeld, aldus Security.nl. Inmiddels zijn er ook bewijzen dat er al malware is gemaakt om Fortinet VPN-producten aan te vallen, schrijft ZDNet.

Volgens schattingen zouden er nog 3800 Pulse Secure VPN niet voorzien zijn van de patch die kwetsbaarheid CVE-2019-11510 dicht. Ook in Nederland zouden nog 420 kwetsbare VPN-servers te vinden zijn.

De REvil ransomware is een veelgebruikte malware-variant. Vorige maand werd datacenterbedrijf CyrusOne ermee geïnfecteerd, maar eerder werden ook diverse service providers, 20 lokale overheden in Texas en meer dan 400 tandartspraktijken in de VS besmet met REvil ransomware.