In de eerste twee weken van april zijn tientallen zorginstellingen, overheidsinstanties, productiebedrijven, transportbedrijven en aanbieders van onderwijssoftware door ransomware getroffen, aldus Microsoft, dat naar aanleiding van de incidenten verschillende beveiligingstips heeft gepubliceerd om ransomware te voorkomen.
Getroffen organisaties bleken hun it-beveiliging niet op orde te hebben. Zo maakten slachtoffers gebruik van Windows Server 2003 en Windows Server 2008 die al geruime tijd niet meer met beveiligingsupdates worden ondersteund. Daarnaast werd de situatie door het gebruik van zwakke wachtwoorden verder verergerd, stelt Microsoft. Ook maakten aanvallers misbruik van bekende kwetsbaarheden in Citrix-systemen en Pulse Secure vpn-software waarvoor al lange tijd updates beschikbaar zijn. "Het installeren van beveiligingsupdates is cruciaal om deze aanvallen te voorkomen", laat Microsoft weten.
Bij verschillende slachtoffers bleken webservers verkeerd geconfigureerd te zijn, alsmede software voor elektronische patiëntendossiers, back-upservers of servers voor systeembeheer. Een andere aanvalsvector was het remote desktop protocol (RDP), waarbij organisaties zwakke wachtwoorden en geen multifactorauthenticatie gebruikten.
Naast het installeren van updates geeft Microsoft ook andere tips, zoals het gebruik van de tool LAPS (Local Administrator Password Solution) om beheerdersaccounts van willekeurige wachtwoorden te voorzien, het toepassen van een account lockout policy, het gebruik van host firewalls om laterale bewegingen door de aanvallers tegen te gaan, het blokkeren van processen die van PsExec- en WMI-commando's afkomstig zijn en voorkomen dat credentials van het Windows local security authority subsystem (lsass.exe) kunnen worden gestolen.
Deze posting is gelocked. Reageren is niet meer mogelijk.