image

Texaanse overheid: blokkeer uitgaand verkeer naar Pastebin

vrijdag 6 september 2019, 13:45 door Redactie, 9 reacties

Organisaties die ransomware willen voorkomen doen er verstandig aan om uitgaand verkeer naar Pastebin te blokkeren, zo stelt een Texaanse overheidsinstantie naar aanleiding van een grootschalige ransomware-uitbraak bij 23 steden in de Amerikaanse staat. Een aanvaller wist via de it-leverancier van de steden toegang tot systemen te krijgen en kon zo de ransomware installeren.

Voor het ontsleutelen van de data eiste de aanvaller 2,5 miljoen dollar, maar voor zover bekend is er geen losgeld betaald, aldus het Department of Information Resources (DIR) van de Texaanse overheid. Het DIR is verantwoordelijk voor het beschermen van de it-infrastructuur van Texas en helpt de Texaanse overheid met beleid, strategie en oplossingen. De organisatie vervulde bij de recente ransomware-aanval een coördinerende rol.

In een update over het incident laat het DIR weten dat de helft van de getroffen steden inmiddels weer volledig is hersteld. Daarnaast geeft de overheidsinstantie vanwege de ransomware-uitbraak verschillende beveiligingstips in het geval systemen op afstand door it-personeel of managed service providers (MSP) worden beheerd. Zo wordt aangeraden om tweefactorauthenticatie voor remote beheertools te gebruiken en met een vpn te werken in plaats van het remote desktopprotocol (RDP).

Verder moet er worden gecontroleerd dat PowerShell geen ongewone processen draait. Ook adviseert het DIR om inkomend verkeer van het Tor-netwerk en uitgaand verkeer naar Pastebin te blokkeren. Pastebin is een website waar gebruikers allerlei tekst kunnen plakken, zoals bijvoorbeeld programmacode. Ook cybercriminelen maken er gebruik van. Eerder dit jaar liet antivirusbedrijf Sophos zien hoe er via Pastebin ransomware op de systemen van een ziekenhuis werd gedownload. Antivirusbedrijf ESET liet in juli weten dat het Android-ransomware had ontdekt die via Pastebin communiceerde.

"Informatiebeveiliging is een verantwoordelijkheid van iedereen. Van it-leveranciers tot eindgebruikers, we moeten allemaal waakzaam blijven en voor een goede cyberhygiëne zorgen. Wat betreft dit specifieke incident adviseer ik om de genoemde beveiligingsmaatregelen te nemen", aldus Amanda Crawford, directeur van het Department of Information Resources.

Reacties (9)
06-09-2019, 16:15 door Anoniem
Zoiets noem je dweilen met de kraan open. En ook iets over klokken en klepels. Ze weten echt wel van een hoop verschillende dingen, daar in Texas.
06-09-2019, 17:16 door Anoniem
Alle DigitalOcean netwerken blokkeren scheelt ook een hoop shit.
Maar ja dan kun je alle VPS hosters wel gaan blokkeren...
06-09-2019, 18:17 door SPer
Door Anoniem: Zoiets noem je dweilen met de kraan open. En ook iets over klokken en klepels. Ze weten echt wel van een hoop verschillende dingen, daar in Texas.
Begrijp de opmerking over klokken en klepels niet helemaal, in de berichtgeving staat dat Sophosheeft laten zien dat randsomware in een ziekenhuis werd gedownload tevens wordt pastebin gebruikt door ransomware om te communiceren. dus het blokken van pastebin verkeer lijkt me niet helemaal verkeerd.
07-09-2019, 04:35 door Anoniem
Natuurlijk kun je dat blokkeren maar dan moet je ook gelijk alle alternatieve sites meenemen. Dan verhuist men het naar Facebook dus blokkeer je dat, daarna Twitter. Net zolang totdat je geen enkele site meer kunt bezoeken. En dan ben je nog steeds kwetsbaar voor ransomware...
07-09-2019, 08:59 door botbot
Overheden houden niet zo van plaatsen waar men ongereguleerd en ongecontroleerd dingen kan doen. Dus snel blokkeren al dat Tor en pastebin.
09-09-2019, 08:39 door Anoniem
Door botbot: Overheden houden niet zo van plaatsen waar men ongereguleerd en ongecontroleerd dingen kan doen. Dus snel blokkeren al dat Tor en pastebin.
Er is voor de overheid geen enkele redenen om TOR verkeer vanaf het Interne netwerk toe te staan. Het wordt bij Nederlandse overheden ook actief gemonteerd. Bij detectie neemt het SOC direct actie, en zal de source aanpakken en toespreken.
09-09-2019, 10:05 door botbot - Bijgewerkt: 09-09-2019, 10:06
Door Anoniem:
Door botbot: Overheden houden niet zo van plaatsen waar men ongereguleerd en ongecontroleerd dingen kan doen. Dus snel blokkeren al dat Tor en pastebin.
Er is voor de overheid geen enkele redenen om TOR verkeer vanaf het Interne netwerk toe te staan. Het wordt bij Nederlandse overheden ook actief gemonteerd. Bij detectie neemt het SOC direct actie, en zal de source aanpakken en toespreken.

Leuk, maar dat staat los van dir artikel. De aanbeveling is om verkeer van binnen naar pastebin te blokkeren, wat mensen mijn inziens gewoon zouden moeten kunnen. Ook vanaf de werkvloer. En TOR verkeer van buiten naar overheden te blokkeren. Dat staat geheel los van een ambtenaar die vanaf zijn werkcomputer zit te browsen op het darkweb.
09-09-2019, 17:30 door Anoniem
Door botbot:
Door Anoniem:
Door botbot: Overheden houden niet zo van plaatsen waar men ongereguleerd en ongecontroleerd dingen kan doen. Dus snel blokkeren al dat Tor en pastebin.
Er is voor de overheid geen enkele redenen om TOR verkeer vanaf het Interne netwerk toe te staan. Het wordt bij Nederlandse overheden ook actief gemonteerd. Bij detectie neemt het SOC direct actie, en zal de source aanpakken en toespreken.

Leuk, maar dat staat los van dir artikel. De aanbeveling is om verkeer van binnen naar pastebin te blokkeren, wat mensen mijn inziens gewoon zouden moeten kunnen. Ook vanaf de werkvloer. En TOR verkeer van buiten naar overheden te blokkeren. Dat staat geheel los van een ambtenaar die vanaf zijn werkcomputer zit te browsen op het darkweb.
Maar nog steeds een goed advies. Er is bijna nooit legitiem TOR verkeer wat van binnen naar buiten gaat. Een enkele gebruiker, maar meestal is het malware en dus tegenhouden op de firewalls.

TOR verkeer kan je ook binnen komend tegenhouden, stopt ook gewoon direct veel troep met een paar seconden werk.
09-09-2019, 22:15 door Anoniem
Na
Door Anoniem: Alle DigitalOcean netwerken blokkeren scheelt ook een hoop shit.
Maar ja dan kun je alle VPS hosters wel gaan blokkeren...
+Amazon cloud
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.