image

Microsoft: cyberhygiëne en verstoren beste aanpak van ransomware

woensdag 21 juli 2021, 15:34 door Redactie, 13 reacties

Het verbeteren van de cybersecurityhygiëne van gebruikers en organisaties en het verstoren van de criminele infrastructuur is de beste strategie om ransomware-aanvallen aan te pakken, zo heeft Microsoft onlangs aan een commissie van het Amerikaanse Huis van Afgevaardigden laten weten.

Volgens het techbedrijf gebruiken criminelen voor hun ransomware-aanvallen vaak dezelfde infrastructuur. Door gebruikte websites, servers en e-mailaccounts uit de lucht te halen wordt het lastiger voor de criminelen achter deze aanvallen om er geld mee te verdienen. Daarnaast moet ook de gebruikte betaalinfrastructuur worden verstoord, stelt Kemba Walden van Microsofts Digital Crimes Unit.

Bij veel aanvallen maken aanvallers gebruik van een cryptowallet, waar slachtoffers het geld naar toe over maken, en van partijen die helpen om de betaalde cryptovaluta naar andere valuta om te zetten. Microsoft laat weten dat sommige aanbieders van cryptowallets en cryptobeuzen in jurisdicties kunnen bestaan waar ze niet worden aangepakt. "Het zijn deze tussenpersonen die de stroom van ransomwaregeld faciliteren", merkt Walden op.

Hygiëne

Een ander punt waarop moet worden ingezet is cybersecurityhygiëne. "Vaak voorkomt het toepassen van basale cybersecurityhygiëne dat cybercriminelen een systeem kunnen gijzelen", stelt Walden. Hij wijst naar een ransomware-aanval op een systeem van de Amerikaanse beurswaakhond SEC. Criminelen wisten toegang tot het netwerk te krijgen via een systeembeheerderswachtwoord dat de verantwoordelijke gebruiker ook had gebruikt voor zijn Yahoo-mailaccount en dat in 2013 waarschijnlijk op straat is komen te liggen.

Door basale maatregelen te nemen wordt het lastiger voor aanvallers om op systemen in te breken. Walden benadrukt vooral het gebruik van multifactorauthenticatie. "Een door Microsoft uitgevoerd onderzoek schat dat meer dan 99 procent van alle cyberaanvallen voorkomen had kunnen worden als multifactorauthenticatie was gebruikt."

Image

Reacties (13)
21-07-2021, 16:58 door Anoniem
Multifactor authenticatie en dan niet met SMS (lees het verhaal over SIM-swapping alhier)
21-07-2021, 17:00 door Anoniem
Dan gebruiken cybercriminelen toch gewoon Linux of MacOS in plaats van Windows 10/11?

Bijvoorbeeld Kali Linux lijkt mij heel geschikt als basis voor cyberaanvallen. En Microsoft kan niets doen om uit systemen die daarop draaien de stekker te halen.

Maar de rest van de wereld moet vooral voor alles een Microsoft ID blijven gebruiken. Wat kan er mogelijk mis gaan in de toekomst? Microsoft is een betrouwbare partner gebleken in het verleden en ze zijn niet evil zoals Google.
21-07-2021, 17:26 door W.T.
[Verwijderd door moderator]
21-07-2021, 17:51 door Anoniem
ha ha ha het is de gebruiker weer en rap MFA en dat het pownen van een enkel gebruikers account meteen dan tot een volledige crypto-heist van een organisatie leidt daar stelt niemand vragen over?
21-07-2021, 18:22 door SecGuru_OTX
Zorg dan ook voor een goede MFA oplossing voor onpremise AD en onpremise omgevingen.

Hier heeft MS zelf nogal wat moeite mee…
21-07-2021, 20:46 door Anoniem
wel is het weer zo dat de exchange gaten die er het afgelopen jaar waren, waar de chinezen nu de schuld van krijgen, niet met MFA ineens geen issue meer waren!
22-07-2021, 08:26 door Anoniem
Door Anoniem: Dan gebruiken cybercriminelen toch gewoon Linux of MacOS in plaats van Windows 10/11?

Bijvoorbeeld Kali Linux lijkt mij heel geschikt als basis voor cyberaanvallen. En Microsoft kan niets doen om uit systemen die daarop draaien de stekker te halen.

Maar de rest van de wereld moet vooral voor alles een Microsoft ID blijven gebruiken. Wat kan er mogelijk mis gaan in de toekomst? Microsoft is een betrouwbare partner gebleken in het verleden en ze zijn niet evil zoals Google.

Het lijkt me goed om jezelf nog verder in te lezen in de materie rondom Cyber Security, zo ook vanuit de perspectieven offensief en defensief. Hiervoor zijn voldoende online bronnen te vinden, succes;)
22-07-2021, 14:18 door walmare
Tuurlijk de gebruiker heeft het weer gedaan. Standaard verhaal. Wij van WC eend durven onszelf niet onder de loop te nemen.
22-07-2021, 22:36 door Anoniem
Door SecGuru_OTX: Zorg dan ook voor een goede MFA oplossing voor onpremise AD en onpremise omgevingen.

Hier heeft MS zelf nogal wat moeite mee…[/quote

Hoezo? Azure MFA kun je toepassen:
- rechtstreeks via AAD Enterprise App
- via ADFS
- via Radius (NPS)

En passwordless middels Hello for Business of FIDO2
22-07-2021, 22:52 door Anoniem
Door walmare: Tuurlijk de gebruiker heeft het weer gedaan. Standaard verhaal. Wij van WC eend durven onszelf niet onder de loop te nemen.

Het zal je verbazen...kapitalen worden uitgegeven aan allerlei fancy security oplossingen.
En ondertussen een server met RDP aan het internet met een simpel wachtwoord. Of servers die unsupported software draaien (Win Server 2008 iemand?) of maanden achterlopen qua patches.

90% van de verbeterpotentie zit vaak in het op orde brengen van de basishygiene.
En het is vaak een opstapeling van kleine dingen die op zich niet ernstig zijn (en bewust worden gedaan) maar samen leiden tot een succesvolle aanval. Lees de rapporten die openbaar gemaakt zijn (hulde daarvoor! Leerzaam) er maar op na

Maastricht, hof van Twente, Lochem, HvA/UvA, Maersk etc etc
23-07-2021, 09:54 door Anoniem
MFA can block over 99.9 percent of account compromise attacks.
zegt het originele Microsoft bericht.
NIET van 99% van alle cyber aanvallen.
23-07-2021, 11:33 door Anoniem
Door Anoniem:
Door walmare: Tuurlijk de gebruiker heeft het weer gedaan. Standaard verhaal. Wij van WC eend durven onszelf niet onder de loop te nemen.

Het zal je verbazen...kapitalen worden uitgegeven aan allerlei fancy security oplossingen.
En ondertussen een server met RDP aan het internet met een simpel wachtwoord. Of servers die unsupported software draaien (Win Server 2008 iemand?) of maanden achterlopen qua patches.

90% van de verbeterpotentie zit vaak in het op orde brengen van de basishygiene.
En het is vaak een opstapeling van kleine dingen die op zich niet ernstig zijn (en bewust worden gedaan) maar samen leiden tot een succesvolle aanval. Lees de rapporten die openbaar gemaakt zijn (hulde daarvoor! Leerzaam) er maar op na

Maastricht, hof van Twente, Lochem, HvA/UvA, Maersk etc etc

UM was via een laptop die een word document/excel file opende in foutlook oid, toch? NWO ook via phishing en Maersk was via de SMBv1 MS issues. Hoe kan MFA hier tegen de initele aanval helpen dan? Ik ben het met jeens dat patches bijhouden een MUST is, maar we moeten ook wel eerlijk zijn dat sommige fabricanten op dat vlak niet goed presteren en je rustig enkele weken laten wachten danwel niet werkende of instabiele patches die de gaten ook niet eens geheel dicht maken aanleveren (print spooler issues, restore point files die de unsalted md4 hashes openbaren om maar wat courants te noemen)... Kijk de exchange ellende van het afgelopen HALF jaar staan mij ook nog in het geheugen en daar kon MFA ook niet helpen...
23-07-2021, 11:55 door Anoniem
Door Anoniem:
Door walmare: Tuurlijk de gebruiker heeft het weer gedaan. Standaard verhaal. Wij van WC eend durven onszelf niet onder de loop te nemen.

Het zal je verbazen...kapitalen worden uitgegeven aan allerlei fancy security oplossingen.
En ondertussen een server met RDP aan het internet met een simpel wachtwoord. Of servers die unsupported software draaien (Win Server 2008 iemand?) of maanden achterlopen qua patches.

90% van de verbeterpotentie zit vaak in het op orde brengen van de basishygiene.
En het is vaak een opstapeling van kleine dingen die op zich niet ernstig zijn (en bewust worden gedaan) maar samen leiden tot een succesvolle aanval. Lees de rapporten die openbaar gemaakt zijn (hulde daarvoor! Leerzaam) er maar op na

Maastricht, hof van Twente, Lochem, HvA/UvA, Maersk etc etc
win2008 is een server maar de meeste gevallen beginnen toch echt met een wind10 werkplek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.