Cybercriminelen blijven SharePoint-servers lustig onder vuur nemen. De kwetsbaarheden worden al wekenlang bestookt met ransomware om bestanden te versleutelen en losgeld te vragen.
Sinds de ontdekking van enkele kritieke kwetsbaarheden in SharePoint in juli, is het documentenplatform een geliefkoosd doelwit. Volgens Unit 42, het onderzoeksteam van beveiligingsbedrijf Palo Alto, ontwikkelen hackers nieuwe aanvals- en ransomwarevarianten om de kwetsbaarheden uit te buiten.
De onderzoekers detecteerden een actieve ransomwarecampagne waarbij kwaadwillenden vier kwetsbaarheden in SharePoint misbruiken, waaronder CVE-2025-53770 en CVE-2025-49706. De aanvallen leiden tot de inzet van de 4L4MD4R-ransomware, die bestanden versleutelt en losgeld vraagt. In een blog wordt de aanvalsmethode uitgebreid beschreven.
SharePoint aangevallen met ransomware
De kwetsbaarheden worden sinds 17 juli 2025 actief uitgebuit. De aanvallen richten zich op SharePoint-servers via een aanvalsketen die bekend staat als ToolShell. Een mislukte poging op 27 juli leidde tot de ontdekking van ransomware die werd gedownload vanaf een externe server.
De ransomware, een variant van het open-source Mauri870-project, wordt in het geheugen geladen en versleutelt lokale bestanden. Vervolgens verschijnt een losgeldbrief waarin een dwangsom wordt geëist.
Na uitvoering laat de ransomware twee bestanden achter op het bureaublad: DECRYPTION_INSTRUCTIONS.html en ENCRYPTED_LIST.html. Via een geconfigureerde C2-server verzendt de malware versleutelde gegevens van het getroffen systeem. De ransomware wordt verspreid met behulp van PowerShell-commando’s die onder meer realtimebeveiliging uitschakelen.
Veranderende tactieken
Achter de exploitatie lijkt een groep te zitten die door Unit 42 is gecategoriseerd als CL-CRI-1040. De infrastructuur en aanvalsmethoden evolueerden gedurende de campagne. De groep schakelde tussen het inzetten van .NET-modules en webshells met vergelijkbare functionaliteit, afhankelijk van publieke aandacht en detectie.
Voorafgaand aan de aanval voeren de daders verkenningsacties uit met behulp van geautomatiseerde scripts. Daarbij maken ze gebruik van exitnodes om hun herkomst te verhullen. Onderzoekers zagen telkens een identiek patroon van doelwitscans en exploitatiepogingen, wat duidt op het gebruik van een vooraf opgestelde doelwittenlijst.
De aanvalscampagne toont overlap met een cluster dat Microsoft aanduidt als Storm-2603. Eén IP-adres is door beide partijen aan dezelfde exploitatie gelinkt. De ransomwarecampagne verloopt volgens twee duidelijke fases: een voorbereidende fase en een fase waarin exploitcode publiek beschikbaar werd.
Aanbevelingen en mitigatie
De bevindingen laten andermaal zien dat kwetsbare SharePoint-servers actief bestookt worden door hackers. Sinds de start van de aanvallen zouden al minstens vierhonderd servers getroffen zijn. Belgische bedrijven blijven voorlopig nog gespaard.
lees ook
Oorzaak SharePoint-lek ligt bij ‘onvolledige’ patch door Microsoft
Microsoft bracht intussen beveiligingsupdates uit voor de betrokken kwetsbaarheden. Het is cruciaal om deze patches te installeren, maar dat is niet voldoende als aanvallers al binnen zijn. Controleer je servers actief op sporen van inbraak en koppel ze bij verdachte activiteit zo snel mogelijk los van het internet.