image

Amerikaanse Senaat: organisaties kunnen meer doen tegen ransomware

donderdag 24 maart 2022, 14:36 door Redactie, 6 reacties

Organisaties kunnen meer doen om infecties door ransomware te komen, zo stelt een commissie van de Amerikaanse Senaat in een rapport over drie bedrijven die slachtoffer werden van de REvil-ransomware (pdf). Het gaat dan om zaken als het updaten van software, maken van back-ups, gebruik van multifactorauthenticatie en toepassen van netwerksegmentatie.

Volgens het Senate Homeland Security and Governmental Affairs Committee laat het rapport de dreiging zien die ransomware voor de Verenigde Staten vormt. "Alle organisaties, ongeacht omvang of complexiteit, zijn kwetsbaar voor ransomware-aanvallen." De commissieleden spraken met drie verschillende organisatie die het slachtoffer van REvil werden.

Het eerste bedrijf kon worden geinfecteerd doordat de REvil-groep een bekende kwetsbaarheid in een legacy server van een leverancier gebruikte. Vervolgens stuurden de aanvallers hiervandaan een e-mail naar een medewerker van het eerste bedrijf waarin ze zich voordeden als de leverancier. De medewerker opende de e-mailbijlage waardoor de bedrijfsnetwerken werden versleuteld.

Het tweede bedrijf raakte met de REvil-ransomware besmet omdat een medewerker een malafide e-mail opende waarvan hij dacht dat die van de bank afkomstig was. Bedrijf drie kon via een bekende "Microsoft-kwetsbaarheid" worden besmet. Volgens de commissie kunnen organisaties het lastiger voor ransomwaregroepen maken door kwetsbaarheden te patchen, offline back-ups te maken, multifactorauthenticatie te gebruiken en sterke wachtwoorden te verplichten. "Het volgen van deze best practices vergroot de kans dat aanvallers voor minder voorbereide doelwitten kiezen", aldus de aanbeveling.

Reacties (6)
24-03-2022, 14:55 door Anoniem
Het volgen van dit, het doen van dat...
Het werkt al 5 jaar niet, en het probleem wordt alleen maar groter. Je kunt die doodlopende weg rustig in blijven lopen, maar ik zie geen enkele reden waarom er een trendbreuk zou komen en mensen plotseling geen linkjes per abuis aanklikken, of dat de hele wereld ineens wel gaan patchen.
De huidige manier van doen is gewoon kansloos. Massa-afpersing is de nieuwe realiteit.
Ook dit jaar zullen er weer duizenden bedrijven ten prooi vallen aan ransomware, en als er niets verandert (en ik zie niets, misschien kijk ik niet goed) zal dat in 2023, 2024 en 2025 niet anders zijn.
En maar zeggen dat je geen linkjes moet aanklikken en aannemen dat honderden miljoenen mensen in de tussentijd opgevoed worden, managers veranderen en de onderliggende IT problemen worden opgelost. Echt, schiet mij maar in de kerstboom.
24-03-2022, 16:19 door Anoniem
ik weet niet, maar van alle maatregelen is de 'patchen continue' de enige die deze ransom aanvallen echt tegen werken. MFA heeft geen nut als gebruikers na heel uitvoering en ingewikkeld authenticeren alsnog op een rotte mail klikken! de backups zijn er voor 'achteraf' natuurlijk.
25-03-2022, 03:51 door Anoniem
Wat ook mist en eigenlijk alleen betaalbaar is voor enterprise: logging en opvolging. Het liefst een SOC. Een betaalbare oplossing is ELK + Windows Eventlogging uit te breiden. Dan filteren op clientside Powershell en LOLbins gebruik + netwerk Bloodhound/AD enumeration. Dan zal de aanvaller het lastiger krijgen. En uiteraard een getest recovery plan...
25-03-2022, 08:28 door Anoniem
Door Anoniem: ...op een rotte mail klikken!

Medewekers, mensen, zouden gewoon op deze links moeten kunnen klikken. Oké, liever niet natuurlijk. Maar het is toch te bizar belachelijk voor woorden dat een mens met 1 (klein) foutje de gehele organisatie lam kan leggen.
Waar is de gelaagde beveiliging (defence in depth).
Wat is de set aan maatregelen om dit tegen te gaan.

Ik pleit voor de mens als laatste schakel in een sterke keten!
25-03-2022, 10:14 door Anoniem
Door Anoniem: Wat ook mist en eigenlijk alleen betaalbaar is voor enterprise: logging en opvolging. Het liefst een SOC. Een betaalbare oplossing is ELK + Windows Eventlogging uit te breiden. Dan filteren op clientside Powershell en LOLbins gebruik + netwerk Bloodhound/AD enumeration. Dan zal de aanvaller het lastiger krijgen. En uiteraard een getest recovery plan...

Hetgeen 99.9% van de organisaties niet heeft en nooit zal krijgen. Voor veruit het grootste deel van het MKB is IT bijzaak om hun passie of werk te ondersteunen. Het lijkt er wel op dat we als IT mensen dwingen om bovenstaande zaken te begrijpen. Het geeft de staat van de IT goed aan: laten we onze eigen problemen maar het probleem van de consument maken. Er zijn nauwelijks bedrijfstakken waarin dat soort omgekeerd gedrag wordt geaccepteerd. Het is hetzelfde als zeggen dat idereen die auto rijdt zelf een monteur moet zijn, want ja, anders krijg je autoproblemen. Of we moeten harde besluiten nemen, of dit zal alleen maar erger worden.
27-03-2022, 10:19 door Anoniem
According to our study, 95 percent of ransomware files detected were Windows-based executables or dynamic link libraries (DLLs) https://storage.googleapis.com/vtpublic/vt-ransomware-report-2021.pdf
Je weet dus wat je te doen staat. Als het brood zou zijn waar je ziek van wordt zou niemand dit meer eten. Maar ja software he dan stopt al het denken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.