De afgelopen maanden zijn allerlei Australische organisaties door ransomware en datadiefstal getroffen, maar via acht essentiële maatregelen zijn de meeste van deze aanvallen te voorkomen, zo stelt de Australische overheid. In een nieuw document voor it-professionals en organisaties legt het Australische Cyber Security Centre (ACSC) uit hoe cybercriminelen en apt-groepen te werk gaan. Apt staat voor Advanced Persistent Threat en is een aanduiding die vaak voor statelijke actoren wordt gebruikt.

Het ACSC is naar eigen zeggen zowel dit jaar als vorig jaar bij tal van onderzoeken naar cyberaanvallen betrokken geweest. Aanleiding voor de overheidsinstantie om een overzicht te maken van de tactieken, technieken en procedures die de aanvallers bij deze aanvallen toepasten. Het overzicht bestaat uit de manier waarop de aanvallers toegang weten te krijgen en welke acties ze vervolgens nemen om toegang te behouden, overige systemen te infecteren en detectie te voorkomen. Ook het legt het ACSC uit hoe dergelijke aanvallen zijn te detecteren en voorkomen.

Toegang

Bij de onderzoeken waar het ACSC bij betrokken was bleek dat aanvallers op verschillende manieren waren binnengekomen. Zo was er onder andere gebruikgemaakt van de uploadfunctionaliteit van een webapplicatie waardoor er een webshell kon worden geüpload om toegang tot de webserver te krijgen. Ook maakten de aanvallers gebruik van rie bekende kwetsbaarheden uit 2017 in de Telerik-webgebruikersinterface. Via deze kwetsbaarheden is het mogelijk om een encryptiesleutel te bruteforcen, die vervolgens is te gebruiken om op het systeem in te loggen en malware te uploaden.

Verder maken aanvallers gebruik van bekende kwetsbaarheden in Pulse Connect Secure VPN, Fortigate SSL VPN en Citrix Application Delivery Controller (ADC) / Citrix Gateway. Een andere manier om toegang te krijgen is het uitvoeren van bruteforce-aanvallen op de inlogpagina's van webapplicaties, het versturen van malafide e-mailbijlagen. Het ACSC heeft ook aanvallen gezien waarbij slachtoffers zelf kwaadaardige Microsoft Access-databasebestanden hadden gedownload. Deze bestanden bevatten weer kwaadaardige code die, wanneer geopend met Microsoft Access, de aanvallers toegang tot het systeem geeft.

Zodra de aanvallers eenmaal toegang hebben proberen ze die te behouden en hun rechten te verhogen. Om detectie van de gebruikte malware te voorkomen maken de aanvallers gebruik van "Timestomping", waarbij de timestamps van bestanden worden aangepast. Ook komt het voor dat de aanvallers logbestanden verwijderen. In veel gevallen proberen de aanvallers data van het systeem te stelen. Zo heeft het ACSC aanvallen gezien waarbij alle Exchange-mailboxes werden geëxporteerd zodra de aanvaller toegang tot de betreffende Exchange-servers had verkregen. Een andere veel toegepaste tactiek is het versleutelen van bestanden voor losgeld.

Essential Eight

Om zich tegen de beschreven aanvallen te wapenen adviseert het ACSC het implementeren van de "Essential Eight". Acht maatregelen waarmee de kans op een succesvolle aanval aanzienlijk wordt verkleind, aldus de Australische overheidsinstantie. Het gaat dan om het patchen van besturingssystemen, patchen van applicaties, het gebruik van multifactorauthenticatie, het niet zomaar toekennen van beheerdersrechten aan gebruikers, het dagelijks maken van back-ups, het extra beveiligen van applicaties, het aanpassen van de macro-instellingen in Microsoft Office en het blokkeren van niet goedgekeurde applicaties.