Blog Ransomware: niet te voorkomen, wel te stoppen!
Door Insight Editor / 23 Sep 2020 / Onderwerpen: Infrastructuur Cybersecurity
Door Insight Editor / 23 Sep 2020 / Onderwerpen: Infrastructuur Cybersecurity
In de afgelopen twee jaar is het aantal ransomware-aanvallen flink gestegen. En waar het in het begin nog ging om het encrypten van de bestanden om zo bedrijven te dwingen om te betalen, wordt nu steeds vaker eerst de data uit de omgeving gekopieerd en worden bedrijven gechanteerd met het vrijgeven van de veelal confidentiële data.
Naast dat bedrijven ettelijke dagen of weken niet kunnen werken, komt dan ook nog het datalek erbovenop. Betaal je als bedrijf niet, dan wordt de data vrijgegeven en heeft iedereen er toegang toe.
Maar hoe werkt een dergelijke aanval dan? Hoe komt deze binnen in een omgeving en vooral wat kan u ertegen doen?
Eigenlijk zijn er drie methodes die momenteel veel voorkomen.
Weak credentials: Hackers doen zeer regelmatig en massaal brute force-aanvallen, gericht tegen servers en andere online devices. Als weak credentials gebruikt worden, dan is de kans aanwezig dat de brute force slaagt en de hacker zich toegang kan verschaffen tot de machine. In een test die we als Insight hebben gedaan met een Ubuntu-server zagen we dat deze binnen 24 uur aangevallen werd. De software op de server in combinatie met Microsoft ATP gaf ons heel veel inzicht in de aanval en wat er uiteindelijk werd geprobeerd. Aangezien we dit in een sandbox-omgeving deden hebben we het wachtwoord met opzet zwakker gemaakt. Binnen 60 uur lukte de aanval en werd de server overgenomen. Het wachtwoord bestaande uit 8 alfanumerieke karakters, inclusief hoofdletters heeft het dus nog geen drie dagen volgehouden.
Vulnerabilities: Het patchen van software, appliances, firewalls etc…, is een belangrijk deel van de dagelijkse werkzaamheden van een administrator. Maar zaken als bedrijfsprocessen en het maken van risico-inschattingen zorgen ervoor dat patches vaak pas een week of twee weken later worden uitgevoerd. In dat tijdsbestek kan een hacker misbruik maken van de vulnerability en zich toegang tot de interne omgeving verschaffen.
Human error: Dit is de meest voorkomende vorm en voor hackers ook de makkelijkste. Met doelgerichte spearphising wordt een gebruiker in de val gelokt. Denk aan een e-mail van de HR-afdeling met een document dat de gebruiker moet downloaden van een Teams-omgeving of OneDrive-omgeving. De gebruiker klikt op de link en wordt dan verzocht om in te loggen. Op het moment dat hij dat doet geeft hij als het ware zijn gebruikersnaam en wachtwoord af en kunnen hackers deze gebruiken. Een ander voorbeeld betreft Word en Excel-bestanden, waarbij de gebruiker na het openen wordt gevraagd een plugin te laden die nodig is om de content te tonen.
Vaak wordt gedacht dat als een omgeving geïnfecteerd raakt dat de ransomware meteen zijn werk doet. Dat is onjuist. Uit een rapport van FireEye blijkt dat er gemiddeld 56 dagen tussen de besmetting en de detectie van de besmetting zit. In die 56 dagen voeren hackers diverse stappen uit om hun aanval te maximaliseren. De “echte” aanval vindt dus veel eerder plaats dan dat de ransomware actief wordt.
Dit zijn vooral voorbereidende stappen. Wanneer ze genoeg data hebben, de back-up hebben weten uit te zetten en voldoende rechten hebben vergaard, gaat er een signaaltje naar de worm op de diverse servers en binnen een paar tellen merkt een bedrijf dat er een groot probleem is.
Mogelijk denkt u dat het haast onmogelijk is om uw organisatie effectief te beschermen tegen ransomware. En dat is vaak ook zo. Maar het is wel goed mogelijk om de aanval te detecteren nog voordat de ransomware geactiveerd wordt. Als standaard verdediging kunnen onderstaande stappen doorlopen worden.
Omdat we bij Insight steeds meer vragen krijgen over ransomware en onze klanten maximaal willen ondersteunen hebben we een uniek drie-lagen-model ontwikkeld. Als dit model wordt geïmplementeerd, zal ransomware, maar vooral de aanval vooraf, gestopt worden voordat er echte schade is.
Als eerste laag wordt inkomend verkeer, en dan met name e-mail, geverifieerd op ransomware of andere malicious code. Spearphishing met besmette Word en Excel-bestanden worden daarmee nagenoeg onmogelijk, omdat de aanval gedetecteerd wordt. Maar ook links die naar nagemaakte OneDrive-pagina’s leiden worden gedetecteerd en gestopt.
In de tweede laag wordt op de endpoints gemonitord en abnormaal gedrag gedetecteerd. Bij detectie wordt het device geïsoleerd waardoor toegang tot de bedrijfsdata, e-mail en andere systemen wordt tegengehouden. Het device kan dan niet misbruikt worden om andere devices of servers te besmetten.
In de derde laag wordt gemonitord op lateral movement. Als de eerste twee stappen falen, dan wordt in deze laag het aanmaken van accounts en het kopiëren van data gedetecteerd en tegengehouden. Tevens monitort deze laag op netwerk searches, IP-scans, etc.
Als Insight dit drie-lagen-model implementeert, wordt de klant aangesloten op een maandelijkse Security Maintenance Service, waardoor elke maand weer de regels aangepast worden op basis van best practices en om de nieuwste vormen van ransomware te stoppen nog voordat data gekopieerd wordt.
Wilt u meer weten hoe ransomware te stoppen of over onze Security Maintenance Service of basis van het drie-lagen-model? Schroom dan niet om contact op te nemen met uw Insight- accountmanager