Xylos brands

WannaCry? Wij laten je weer lachen

Op vrijdag 12 mei trof een nieuwe variant van de ransomware WannaCry vele landen wereldwijd. En de aanval is nog niet afgelopen.

Zolang we zonder nadenken e-mailbestanden openen en links aanklikken, blijft dit soort problemen aanhouden. Fabrikanten van anti-malware grijpen de gebeurtenis aan om hun producten te promoten. Maar welke lessen kunnen we uit deze aanval trekken?

Wat is ransomware?

Ransomware is een vorm van digitale afpersing waarbij bestanden versleuteld worden. Dat gebeurt op je lokale machine en de fileservers waarmee je connecteert, maar ook op de fileservers van OneDrive en andere synchronisatietools. Eenmaal de bestanden versleuteld zijn, krijg je instructies op je scherm om te betalen voor een code waarmee je terug toegang krijgt tot je gegevens.

Wat maakt deze ransomware anders?

Opvallend aan deze variant uit de 'WannaCry-familie', is dat hij zich wel heel erg snel verspreid. Eén enkele gebruiker die besmet raakt, verspreidt onbewust de malware via SMB: het protocol dat Windows gebruikt voor bestandsdeling.

Welke maatregelen kan je nemen?

Ransomware verandert en voortdurend verschijnen nieuwe versies. Je kan een aantal algemene maatregelen nemen om besmetting te voorkomen:

  1. Security awareness-training voor je eindgebruikers is geen overbodige luxe. Je kan veel geld investeren in IT-beveiliging, maar zolang gebruikers op onbetrouwbare links blijven klikken, haalt het niets uit. Organiseer een bewustmakingscampagne en controleer de efficiëntie door bijvoorbeeld regelmatig een phishing-test te laten uitvoeren.
  2. Patching: malware maakt gebruik van kwetsbaarheden in systemen die al langer bekend zijn. Een goede patching-strategie is dus belangrijk. Voor de techneuten: CVE MS17-010 kreeg een tijd terug aandacht omdat de NSA dit lek zou gebruiken voor hacking.Geen tijd om te patchen? Je kan je systemen ook dichttimmeren (bv.: virtual patching) of proberen de kwetsbaarheden te onderscheppen zoals, bijvoorbeeld, met een Intrusion Prevention System (IPS).
  3. Endpoint Security: de dagen van op signatures (patronen) gebaseerde anti-malware, zijn geteld. Malware verandert te snel. Grotere fabrikanten hebben nu oplossingen die gebruik maken van nieuwere methodes zoals machine learning en sandboxing. Dit laatste is een manier om bestanden automatisch te testen in een beschermde omgeving (de zandbak). Gedraagt het programma zich daar vreemd, dan wil je het ook niet op je werkplek loslaten.
  4. Besteed extra aandacht aan e-mail- en internetverkeer. Zo goed als alle infecties raken langs deze weg je organisatie binnen. Vervang je oude e-mailantivirus en URL-filter door nieuwe bescherming die elk onbekend bestand controleert in een sandbox. Ontvang je een Office-document dat vraagt om macro's aan te zetten, denk dan twee keer na of dit wel nodig is.
  5. Back-up, back-up, back-up. We kunnen het niet genoeg herhalen: maak regelmatig een back-up van werkplekken en servers. Die back-up moet ook getest worden. Documenten (en andere bestanden) kan je ook op een clouddienst plaatsen (bv.: OneDrive). Dat heeft het voordeel dat je meerdere versies van een bestand bewaart. Geraakt een bestand versleuteld, dan kan je een vorige versie terugplaatsen.
  6. Beheerrechten: stel jezelf de vraag of iedereen in je organisatie een onbekend programma kan opstarten of installeren. Met het least privilege-securitymodel wijs je de juiste rechten toe aan de juiste gebruikers.

Te laat, mijn bestanden zijn versleuteld. Wat nu?

Wis je volledige systeem en haal je back-up boven. Heb je geen back-up? Een publieke decryptiesleutel is momenteel niet voor handen voor deze variant. Maar betalen is niet aan te raden. Niet alleen houd je op deze manier het systeem mee in stand, vaak blijkt de sleutel die je ontvangt ook niet te werken.

Wees voorbereid op het ergste

Voorkomen is altijd beter dan genezen. Houd er dus rekening mee dat het ook jou kan overkomen. Werk op papier een rampscenario uit met duidelijke contactpersonen en verantwoordelijkheden, al is het maar één A4-tje. Het bespaart je heel wat tijd wanneer het zover is.

Ook technisch moet je voorbereid zijn. Waar de klassieke Endpoint Security-oplossing zich richt op het detecteren en voorkomen van problemen, kan zogenaamde Endpoint Detection & Response-technologie (EDR) je helpen bij het opsporen. Met EDR kan je achterhalen hoe een bedreiging is binnengeraakt en waar er nog gelijkaardige indicatoren zijn (bestanden, bepaalde IP-communicatie…). En je kan problemen inperken door, bijvoorbeeld, deze machines automatisch in isolatie te plaatsen zodat ze geen malware meer verspreiden via het netwerk.

Conclusie

Endpoint Security

heeft jarenlang te weinig aandacht gekregen. Antivirustechnologie evolueerde niet echt en was al verouderd bij de release. Bovendien vertraagde het je pc. De goedkoopste oplossing in combinatie met het gezond verstand, zou ons wel redden.

Ondertussen maakte de Endpoint Security een sterke evolutie door, maar de kennis van gebruikers hinkt achterop. Bedrijven investeren veel geld in IT-beveiliging, maar zolang gebruikers op onbetrouwbare links blijven klikken, haalt het niets uit. Het is belangrijk dat je investeert in bewustmaking en dat je de kennis van je gebruikers controleert. En wij kunnen je daarbij helpen.

Je gebruikers inenten tegen malware? Maak een afspraak via johan.celis@xylos.com.

Deel dit blogbericht

Also interesting for you

Laat een antwoord achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd.

Breng jouw kennis en skills naar een hoger niveau

Schrijf nu in voor onze nieuwsbrief en krijg maandelijks:

  • Uitnodigingen voor Xylos' events & webinars
  • De laatste blogposts en cases
  • Nieuwste IT-trends