Naar aanleiding van de ransomware-aanval van vorige week hebben we een aantal belangrijke punten op een rijtje gezet:
Wat is Ransomware?
Ransomware of gijzelsoftware is een chantagemiddel op internet. Letterlijk vertaald betekent ransom: losgeld. Ransomware is malware die een computer en/of gegevens die erop staan blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer vrij te geven. Betalen blijkt echter niet (altijd) tot ontsluiting van de computer te leiden, en wordt door veel specialisten ontraden. Het betalen van ‘losgeld’ heeft in deze situatie ook geen zin omdat de daders van de actie niet geïnformeerd kunnen worden dat het losgeld is betaald aangezien het e-mailadres is geblokkeerd door de betreffende provider. Voorkomen is en blijft de beste remedie.
Over deze Ransomware
Het gaat het om een ransomware-exemplaar dat Petya, GoldenEye, ExPetr en ook NotPetya wordt genoemd, dat origineel verspreid is door de boekhoudsoftware M.E.Doc. De ransomware maakt daarnaast gebruik van beveiligingslekken in de SMB-dienst van Windows die op 14 maart dit jaar door Microsoft werden gepatcht. Het gaat om dezelfde kwetsbaarheid die ook door WannaCry werd gebruikt, alsmede een lek dat in Windows XP tot en met Windows Server 2008 aanwezig is. Voor de aanvallen worden twee kwetstbaarheden gebruikt die bij de NSA zijn gestolen, de EternalBlue- en EternalRomance-exploit.
Is de uitbraak van Petya groter dan die van WannaCry?
WannaCry wist veel meer machines te infecteren dan Petya tot op heden. In het geval van WannaCry worden er schattingen van 2 miljoen genoemd, terwijl het in het geval van Petya om enkele tienduizenden machines gaat. Er zijn overigens sterke aanwijzingen dat dit geen zuivere ransomware-aanval is met het doel om geld te verdienen maar een doelbewuste poging om zoveel mogelijk schade aan te richten.
Wat hebben Claranet en Rely gedaan?
- We maken gebruik van geavanceerde virus- en spamfilters met een hoge bescherming tegen virussen en malware;
- Binnen onze online (werkplek)omgevingen hebben we Appguard beschikbaar om alleen die programma’s te kunnen uitvoeren die vooraf zijn ‘goedgekeurd’;
- Alle onder beheer zijnde (virtuele) machines en devices zijn voorzien van de laatste windows-updates.
Wat kunt u zelf doen?
- Zorg dat uw systemen (zowel uw servers, werkstations als laptops) voorzien zijn van de laatste Windows-updates;
- Zorg dat uw medewerkers geïnformeerd en getraind zijn om e-mails te herkennen, die mogelijk tot ransomware besmetting kunnen leiden, en hoe ze hiermee om moeten gaan (melden en verwijderen);
- Zorg voor een goede inregeling van back-ups. Mocht het namelijk alsnog fout gaan, is het van belang om zo min mogelijk te verliezen en zo snel mogelijk weer in de lucht te zijn met de laatste schone versie;
- Zorg voor een procedure zodat bekend is wat te doen wanneer er een uitbraak in uw IT-omgeving plaatsvindt.
Valt het te voorkomen?
Zoals aangegeven is het van groot belang om te zorgen dat uw complete IT-omgeving voorzien is van alle updates. Mocht u hierover twijfelen of (extra) hulp nodig hebben voor het beheer van uw omgeving kunt u dit uitbesteden bij Claranet en Rely. Wij kunnen het beheer voor u volledig uit handen nemen van zowel het centrale platform, de cloud-omgeving als de lokale devices zodat u maximaal beschermd bent tegen een dergelijke aanval. Tevens kunnen we continue monitoring van uw IT-omgeving verzorgen om lekken of problemen in een vroeg stadium te kunnen detecteren.
En verder?
De techniek en procedures zijn de eerste stap; de factor mens mag u echter niet onderschatten. Een van de grootste beveiligingsuitdagingen binnen een organisatie is namelijk de mens zelf. Een onschuldig lijkende e-mail openen kan nog steeds zorgen voor een interne uitbraak van een virus of ransomware. Samen met onze partner SecureLabs kunnen we een phishing assesment binnen uw organisatie uitvoeren om niet alleen de lekken binnen de organisatie boven water te krijgen, maar ook om het beveiligingsbewustzijn onder de medewerkers te vergroten.