Zorgen om opmars malafide javascriptfiles

Het afgelopen half jaar zijn 12 gevallen gemeld van malafide javascript files bij zorg- en zorggerelateerde instellingen. Het gaat hierbij niet om javascript die in de browser als onderdeel van een website actief is, maar javascript die binnen Windows opstart door er dubbel op te klikken, net als bij reguliere software. De cybersecurity analisten van Z-CERT maken zich zorgen om deze opmars en vragen de zorgsector om zich te verdiepen in de onderstaande maatregelen.
Er is momenteel een aantal campagnes actief waar de aanvallers gebruik maken van malafide javascripts. De criminelen gebruiken deze files om zich toegang te verschaffen tot systemen en in een later stadium bijvoorbeeld ransomware uit te rollen. Deze methode wordt ook gebruikt door ransomware-groepen die het gemunt hebben op de zorgsector. Ook in Nederland is deze aanvalsmethode waargenomen, zeggen cybersecurity analisten van Z-CERT het expertisecentrum voor cybersecurity in de zorg.

Conti en Avaddon

De javascript methode is afgelopen half jaar gebruikt door verschillende cybercrime groepen. Voorbeelden hiervan zijn de ransomware-varianten Conti en Avaddon. De cybercrimegroep die gebruik maakt van Conti (Wizard spider) zat ook achter de grote hack op de Ierse gezondheidssector waarbij 2000 patiëntsystemen offline werden gehaald.
In April rapporteerde Microsoft over een campagne waarbij malafide javascripts aangeboden werden die de malware IcedID downloadt. IceID wordt door verschillende ransomware-groepen gebruikt, zoals Egregor en REvil. Beide hebben het gemunt op de zorgsector.

Ook zagen onderzoekers begin dit jaar/eind vorig jaar een toename van aanvallen met SocGholish. Hierbij wordt een legitieme website geïnfecteerd. Via deze website worden malafide browser updates aangeboden in de vorm van een zip-file met daarin een javascript file.

Is een infectie die via een javascript bestand verloopt makkelijk te voorkomen? Ja, zeggen de analisten van Z-CERT. Ze bieden een aantal opties om het probleem op te lossen. Saillant detail: de meeste systeembeheerders gebruiken geen javascript om systeemtaken uit te voeren, de misbruikte functionaliteit kan dus veelal zonder gevolgen uitgeschakeld worden.

Maatregelen

• Zorg dat javascript bestanden (extensies: .js en .jse) niet standaard opgestart wordt door de “Windows Script Host” bij dubbelklik. Zorg dat dit een andere applicatie is, b.v. notepad.exe. Niet een hele solide oplossing, maar wel effectief.
  Dit kan gedaan worden door de .js en .jse extensies te associëren met notepad.exe i.p.v. de Windows Script Host.
• Implementeer Applicatiewhitelisting! Applicatiewhitelisting is ook toe te passen op javascript bestanden.
• Het is mogelijk om de “Windows Script Host” uit te schakelen zodat javascript niet meer uitgevoerd kan worden. Dit heeft ook impact op enkele andere type bestanden en de impact hiervan moet dus wel eerst getest worden.
• Er zijn een aantal “attack surface reduction rules” die van toepassing zijn op malafide javascript bestanden.

Block JavaScript or VBScript from launching downloaded executable content
GUID: D3E037E1-3EB8-44C8-A917-57927947596D
Block executable content from email client and webmail
GUID: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550