De Amerikaanse overheid heeft een vernieuwde handleiding gepubliceerd voor het stoppen van ransomware-aanvallen (pdf). Drie jaar geleden verscheen de eerste versie van de '#StopRansomware Guide', opgesteld door de FBI, Amerikaanse geheime dienst NSA en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

De handleiding, die als een 'one-stop resource' moet dienen voor het tegengaan van ransomware, bevat een onderdeel dat zich richt op het voorkomen van ransomware-aanvallen en datadiefstal en een onderdeel die uit een response checklist bestaat. De vernieuwde versie van de handleiding bevat nieuwe adviezen en informatie over het hardenen van SMB en browsers, hoe aanvallers zich voordoen als personeel, het gebruik van kwetsbaarheden en misconfiguraties in online systemen om toegang te krijgen en datadiefstal.

Zo worden organisaties opgeroepen om Server Message Block (SMB) protocol versie 1 uit te schakelen en te upgraden naar versie 3. Daarna is het nodig om SMBv3 te hardenen, om zo te voorkomen dat aanvallers misbruik van het protocol maken om malware te verspreiden. Zo wordt aangeraden om het gebruik van SMBv 3.1.1 te verplichten. Ook moet intern SMB-verkeer worden beperkt, zodat communicatie alleen plaatsvindt tussen systemen die het nodig hebben.

Tevens adviseert de handleiding nu om het gebruik van sandboxed browsers te overwegen en dat organisaties alert moeten zijn dat cybercriminelen zich via telefoon of sms voordoen als de automatiseringsafdeling of helpdesk, om zo inloggegevens van personeel te achterhalen. Een ander nieuw onderdeel gaat over het stelen van data, zoals bij veel ransomware-aanvallen plaatsvindt. Organisaties moeten bijvoorbeeld letten op afwijkende hoeveelheden data die over een bepaalde poort worden verstuurd en de aanwezigheid van bepaalde tools die criminelen bij het stelen van data toepassen.