'Ransomware: bescherm niet alleen devices, maar ook gebruikers'

Dit is een expertquote van Annelies Heek, Conscia, in het kader van ANP Expert Support. U kunt dit bericht, of delen hiervan gebruiken op uw kanalen. Aanleiding: Grootschalige cyberaanval raakt minstens 1000 bedrijven | ANP

De eerste week van juli domineerde de Kaseya Supply Chain Attack het nieuws. Wereldwijd zijn ruim 1000 bedrijven geraakt door deze aanval, ook organisaties in Nederland zijn geraakt. De aanval begon mogelijkerwijs bij bedrijf Kaseya, een leverancier van ICT-beheersoftware. VSA, een product dat wordt gebruikt voor beheer op afstand, is mogelijk de bron van de aanval.

Aanvallers infecteerden eerst slachtoffers via een kwaadaardige automatische update van de VSA-software en leverden uiteindelijk de REvil/Sodinokibi-ransomware af. Eenmaal actief versleutelt de ransomware de inhoud van systemen op het netwerk, wat wijdverbreide operationele verstoringen veroorzaakt voor organisaties die deze software gebruiken. REvil werkt met behulp van een RaaS-model (ransomware-as-a-service), waarbij gebruik gemaakt wordt van een verscheidenheid aan tactieken, technieken en procedures (TTP's) om slachtoffers te infecteren, en hen te dwingen te betalen om weer toegang te krijgen tot systemen en gegevens. In veel gevallen zijn back-upservers het doelwit van netwerkgebaseerde ransomware-aanvallen.

Gebruikers van Kaseya VSA doen er verstandig aan om de adviezen van Kaseya op te volgen, omdat zij ondersteund worden door diverse forensische incident response-organisaties.

Wat kan een bedrijf zelf doen om het risico op ransomware te verkleinen:

· Benader Cyber Security vanuit risico management. Wees bewust wat te beschermen en tegen wie. Stel de vraag wat het betekent als (een deel) van een organisatie onbeschikbaar is, of wat het betekent als vertrouwelijke informatie in verkeerde handen terecht komt.

· ‘Fix the Basics’:

• Een organisatie moet weten welke assets en welke software die draait; wat een organisatie niet weet kan die ook niet beveiligen.
• Een bedrijf moet bepalen in hoeverre dat bekende kwetsbaarheden direct wil opvolgen (stel bijv. een maximum in van 24 uur voor kritieke kwetsbaarheden, maar richt dan ook een proces in om dit te kunnen waarborgen).
• Bewaar security logging.

· Bescherm niet alleen devices, maar ook gebruikers. Train eindgebruikers vanuit security awareness-programma’s die gericht zijn op het verhogen van bewustzijn en gedragsverandering.

· Voer Multi Factor Authenticatie in.

· Bescherm niet alleen devices en gebruikers binnen de infrastructuur, maar bescherm ook thuisgebruikers en cloud-omgevingen.

· Pas netwerksegmentatie toe om te voorkomen dat een besmetting zich verspreidt binnen de infrastructuur.

· Tref maatregelen die niet alleen zijn gericht op preventie van aanvallen, maar ook op detectie en response.

· Review offline back-up- en herstelstrategie en beschouw off site back ups als een essentieel onderdeel van risicostrategie.

Annelies Heek is Adviseur Cyber Security bij Conscia