De Zwitserse overheid heeft gewaarschuwd voor "ernstige ransomware-aanvallen" tegen kleine en middelgrote bedrijven in het land. Sinds het begin van dit jaar is er een toename van het aantal Zwitserse bedrijven dat door ransomware is getroffen.

"Er zijn helaas nog steeds gevallen waarbij bedrijven hun meest waardevolle gegevens zijn verloren omdat de gekozen back-upoplossing niet werkte of niet goed was toegepast en de aanvaller in staat was om de back-ups te verwijderen of versleutelen", aldus de Zwitserse overheidsinstantie MELANI (Melde- und Analysestelle Informationssicherung). Vanwege de huidige situatie heeft de dienst besloten om nu een waarschuwing af te geven.

Volgens MELANI weten criminelen op verschillende manieren toegang tot bedrijfsnetwerken te krijgen. Zo maken ze gebruik van zwakke wachtwoorden om via RDP en Citrix in te loggen. Ook worden er kwaadaardige e-mails verstuurd en bekende kwetsbaarheden aangevallen. Zodra er toegang tot een systeem van de organisatie is verkregen wordt geprobeerd om de overige machines te infecteren.

Van verschillende ransomware-exemplaren, waaronder Ryuk en LockerGoga, legt MELANI uit hoe de infectie plaatsvindt. De overheidsdienst stelt dat organisaties verschillende maatregelen kunnen nemen om zich te beschermen. Er wordt vooral aandacht gevraagd voor het offline bewaren van back-ups. "Dat is de enige manier om ze tegen een vastbesloten aanvaller te beschermen", aldus de dienst. Verder moeten back-ups geregeld worden getest en moeten belangrijke gegevens op WORM (Write Once Read Many) media worden bewaard.

Tevens doet MELANI aanbevelingen voor netwerksegmentatie, beveiligingsmaatregelen op gateway-niveau, beheer op afstand en het beveiligen van endpoints, servers en Active Directory. Zo wordt aangeraden om voor het authenticeren van gebruikers altijd tweefactorauthenticatie toe te passen, moet SMBv1 zo snel als mogelijk worden uitgefaseerd en het gebruik van LM/NTLM-authenticatie worden voorkomen.

Afhandeling

Afsluitend krijgen organisaties ook tips wat te doen als ze toch door ransomware worden getroffen. Bedrijven doen er volgens de Zwitserse overheid verstandig aan om zo transparant als mogelijk te zijn. "Als een incident goed wordt afgehandeld is de reputatieschade minimaal." Verder stelt MELANI om tijdens een incident kalm te blijven, niet overdreven te reageren en geen fouten te maken die het incident verergeren.