FBI waarschuwt voor ransomware-aanval die back-ups wist
De FBI heeft eind februari van dit jaar een waarschuwing afgegeven waarin het bedrijven en organisaties waarschuwt voor een nieuw soort ransomware-aanval waarbij aanvallers volledige netwerken versleutelen en vervolgens op zoek gaan naar netwerkback-ups en die verwijderen.
De waarschuwing (pdf), die onder andere via een mailinglist werd verspreid, volgt na ransomware-infecties bij verschillende bedrijven. Het gaat om varianten van de Samas-ransomware, die allerlei bestanden versleutelt en in 2014 voor het eerst werd ontdekt. De versie waar de FBI het over heeft werd op 14 januari van dit jaar voor het eerst gezien. Nadat de computers met ransomware besmet zijn geraakt proberen de aanvallers vervolgens handmatig back-ups op het netwerk te vinden en te verwijderen. Verschillende van de getroffen bedrijven zouden via verouderde JBOSS-applicaties zijn gehackt, waarna de ransomware op systemen werd uitgevoerd.
Tips
Om infecties door ransomware te voorkomen adviseert de FBI om anti-virussoftware, besturingssysteem en browser up-to-date te houden. Daarnaast moet er een back-up- en recoveryplan worden opgesteld, waarbij back-ups in een veilige en andere locatie worden bewaard. Ook zouden back-ups van gevoelige gegevens niet eenvoudig toegankelijk via het lokale netwerk moeten zijn. Verder wordt gewaarschuwd voor links en bijlagen in e-mails. Als laatste moet software, en dan met name gratis programma's, alleen van websites worden gedownload die de gebruiker kent en vertrouwt.
Update
In februari van dit jaar publiceerde ook Intel Security een rapport (pdf) over deze ransomware. Daarin waarschuwt het bedrijf dat gerichte ransomware-aanvallen geen toekomstige dreiging meer zijn.
Time Machine op de mac mount de shares zo dat een gewone gebruiker de mount niet ziet. Verder is het een ander wachtwoord dan de gebruikers op de mac gebruiken.
Daarnaast heb je ook backup software die communiceert via een programma op de backup server, zonder dat de cliënt de werkelijke backup schijf ziet. Bij een incremental backup blijven dan altijd de oudere bestanden intact.
Helaas als de Linux server gehackt wordt kunnen ze overal bij. Interne en online backups.
Daarnaast heb ik nog wel offline backups met wissel harddisken maar is toch weer handwerk.
Time Machine op de mac mount de shares zo dat een gewone gebruiker de mount niet ziet. Verder is het een ander wachtwoord dan de gebruikers op de mac gebruiken.
Toch is KeRanger in staat om de Time Machine backup te encrypten. Voor de gewone gebruiker is het niet zichtbaar maar hij is wel degelijk gemount. Ik ben nu aan het kijken naar een oplossing hiervoor. Mijn plan is om elke nacht een kopie te maken van de backup bestanden naar een andere locatie. Op die manier kan de ransomware er nooit bij. Alleen wel oppassen dat je die kopieerslag direct stopzet wanneer de backup wordt geëncrypt.
Chrome?
Opera?
7zip?
Notepad++?
En zo'n beetje ieder ander gratis programma dat wordt gemaakt?
In de schaarse berichten erover heb ik niet kunnen lezen onder welke voorwaarden. b.v. als je met useraccount werkt, of als je de sleutelhanger beveiligd met andere wachtwoorden dan je account wachtwoord. Maar als de malware zichzelf rootrechten kan toe-eigenen, zal hij ook de wachtwoorden kunnen opvragen en bij de TimeMachine backup kunnen komen.
Een van mijn backups gaat naar een nas. Daarop hebben ze nu een beta versie van een backup programma geïntroduceerd waarmee je ook elk uur een incremental backup kunt maken. Dat kun je echter doen naar een share die niet op het netwerk gepubliceerd wordt. Dan moeten ze al je PC en de nas gelijktijdig weten te besmetten.
In de schaarse berichten erover heb ik niet kunnen lezen onder welke voorwaarden. b.v. als je met useraccount werkt, of als je de sleutelhanger beveiligd met andere wachtwoorden dan je account wachtwoord. Maar als de malware zichzelf rootrechten kan toe-eigenen, zal hij ook de wachtwoorden kunnen opvragen en bij de TimeMachine backup kunnen komen.
Een van mijn backups gaat naar een nas. Daarop hebben ze nu een beta versie van een backup programma geïntroduceerd waarmee je ook elk uur een incremental backup kunt maken. Dat kun je echter doen naar een share die niet op het netwerk gepubliceerd wordt. Dan moeten ze al je PC en de nas gelijktijdig weten te besmetten.
Die kans is inderdaad klein. In mijn geval wordt de backup gemaakt naar een Mac server. Vanuit daar zal aparte software de backup bestanden kopieren naar een Windows share.
Ik vraag me alleen af of het mogelijk is om een incremental backup te maken van een TImeMachine backup, aangezien dit sparsebundle bestanden zijn... Ik ben bang dat het sparsebundle bestand elke nacht in z'n geheel opnieuw gekopieerd moet worden.
Ik hoop dat ik er naast zit. :)
(en - vergelijkbaar met Annoniem/14:03 - af en toe maak ik met de hand een incrementele snapshot naar externe schijven die offsite bewaard worden)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
