Organisaties die ransomware willen voorkomen doen er verstandig aan om uitgaand verkeer naar Pastebin te blokkeren, zo stelt een Texaanse overheidsinstantie naar aanleiding van een grootschalige ransomware-uitbraak bij 23 steden in de Amerikaanse staat. Een aanvaller wist via de it-leverancier van de steden toegang tot systemen te krijgen en kon zo de ransomware installeren.
Voor het ontsleutelen van de data eiste de aanvaller 2,5 miljoen dollar, maar voor zover bekend is er geen losgeld betaald, aldus het Department of Information Resources (DIR) van de Texaanse overheid. Het DIR is verantwoordelijk voor het beschermen van de it-infrastructuur van Texas en helpt de Texaanse overheid met beleid, strategie en oplossingen. De organisatie vervulde bij de recente ransomware-aanval een coördinerende rol.
In een update over het incident laat het DIR weten dat de helft van de getroffen steden inmiddels weer volledig is hersteld. Daarnaast geeft de overheidsinstantie vanwege de ransomware-uitbraak verschillende beveiligingstips in het geval systemen op afstand door it-personeel of managed service providers (MSP) worden beheerd. Zo wordt aangeraden om tweefactorauthenticatie voor remote beheertools te gebruiken en met een vpn te werken in plaats van het remote desktopprotocol (RDP).
Verder moet er worden gecontroleerd dat PowerShell geen ongewone processen draait. Ook adviseert het DIR om inkomend verkeer van het Tor-netwerk en uitgaand verkeer naar Pastebin te blokkeren. Pastebin is een website waar gebruikers allerlei tekst kunnen plakken, zoals bijvoorbeeld programmacode. Ook cybercriminelen maken er gebruik van. Eerder dit jaar liet antivirusbedrijf Sophos zien hoe er via Pastebin ransomware op de systemen van een ziekenhuis werd gedownload. Antivirusbedrijf ESET liet in juli weten dat het Android-ransomware had ontdekt die via Pastebin communiceerde.
"Informatiebeveiliging is een verantwoordelijkheid van iedereen. Van it-leveranciers tot eindgebruikers, we moeten allemaal waakzaam blijven en voor een goede cyberhygiëne zorgen. Wat betreft dit specifieke incident adviseer ik om de genoemde beveiligingsmaatregelen te nemen", aldus Amanda Crawford, directeur van het Department of Information Resources.
Deze posting is gelocked. Reageren is niet meer mogelijk.