Amerikaanse overheid luidt noodklok over ransomware
De Amerikaanse overheid luidt de noodklok over de recente aanvallen met ransomware en vraagt overheidsinstanties en organisaties om meteen maatregelen te nemen. De afgelopen maanden zijn tal van overheden, overheidsorganisaties en gemeenschappen door ransomware getroffen.
Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security onderstreept het groeiend aantal aanvallen het belang van voorzorgsmaatregelen en netwerkbeveiliging. "Preventie is de beste bescherming tegen ransomware", aldus het CISA. De organisatie roept alle lokale en staatsoverheden op, alsmede de gehele "cybergemeenschap", om drie essentiële maatregelen tegen ransomware meteen door te voeren.
Als eerste moet belangrijke systeemconfiguratie nu en vervolgens dagelijks op een apart systeem worden geback-upt en moeten de back-ups op een offline systeem worden opgeslagen. Verder is het essentieel dat medewerkers training krijgen over phishing, cyberdreigingen en verdachte links, wat de meestgebruikte manier is om ransomware te verspreiden, aldus het CISA. "Ransomware-aanvallen slagen vaak alleen dankzij het menselijke element", zo laat de overheidsorganisatie verder weten. Als laatste moeten instanties over een incident response plan beschikken in het geval een aanval zich toch voordoet.
Ik lees steeds vaker en vaker dat Amerika aangevallen word door ransomware... al een paar maanden... doe er dan wat aan man :S.
Nou snap ik wel dat er heel wat bedrijven zijn waar IT echt slecht is maar dit gaat om de overheid. Hier moeten wel goed IT managers werken... anders ga ik daar wel even solliciteren :-)
Een volslagen kansloze bezigheid. Er hoeft er maar 1 tussen te zitten, en die zit er altijd tussen, en je netwerk raakt geinfecteerd. Beter is om uit te gaan van het onveilige handelen van medewerkers en je beveiliging en netwerkontwerp daarop aan te passen.
Maar wat als de focus wordt verlegd naar een andere regio?
Zouden overheidssystemen in andere regio's hier al beter weerstand tegen kunnen bieden?
(ik vrees het ergste)
Loop je alleen nog risico van malware welke on the fly encryptie/decryptie toepast totdat de key verwijderd wordt. Die is nog niet in het wild gezien geloof ik.
Kijk dan eens hier waar de aanvallers en de aangevallenen zitten: https://threatmap.checkpoint.com/ThreatPortal/livemap.html
Dan kun je gaan geo-blokkeren. Als Israël zou ik bijvoorbeeld bepaalde Nederlandse ranges blokkeren bijvoorbeeld, gezien het grote aantal recente aanvallen. Heb je thuis een bepaalde av oplossing kun je geo-blokkeringen doen voor regio's met 100% proliferatie van zulke software. Daar wordt namelijk alle malware op deze software getest. In de achtertuin hoef je ook niet bang te zijn voor eigen hackers, de risico's voor overtreders is daar te groot om aangepakt te worden in plaats van dat hun activiteiten elders worden gedoogd.
Voor de rest goede in-house back-up procedures, want ook in de cloud kun je niet altijd 100% vertrouwen hebben.
J.O.
Eigenlijk moet het dus een offline back-up op een offsite locatie zijn.
Als je geen oplossing zoals LAPS hebt geïmplementeerd, en er raakt maar één workstation gecompromitteerd, ben je de sjaak als daar nog geldige cached domain admin credentials op staan, of zodra je met zo'n (of ander hoog en hergebruikt) privilege remote op dat werkstation inlogt om te kijken wat er aan de hand is.
Ik lees steeds vaker en vaker dat Amerika aangevallen word door ransomware... al een paar maanden... doe er dan wat aan man :S.
Nou snap ik wel dat er heel wat bedrijven zijn waar IT echt slecht is maar dit gaat om de overheid. Hier moeten wel goed IT managers werken... anders ga ik daar wel even solliciteren :-)
Veel van de security problemen komt voornamelijk uit Legacy Applicaties die niet met de security maatregelen overweg kan.
Een volslagen kansloze bezigheid. Er hoeft er maar 1 tussen te zitten, en die zit er altijd tussen, en je netwerk raakt geinfecteerd. Beter is om uit te gaan van het onveilige handelen van medewerkers en je beveiliging en netwerkontwerp daarop aan te passen.
Helemaal mee eens. Ga er gewoon altijd van uit dat er een sukkel tussen zit die iets (per ongeluk) uitvoert. Zorg er gewoon voor dat mensen echt beperkte rechten hebben, dat wanneer bijvoorbeeld cryptolockers onder hun credentials draait maar zeer beperkt zaken kunnen infecteren. Combineer strakke rechten met up-to-date machines en je zou redelijk goed moeten zitten.
Bij een van onze klanten had iemand een keer iets geopend, jammer maar helaas was zijn H: schijf en twee netwerk folders gelockt. Backup terugzetten en klaar. Niets geen verdere verspreiding van de rotzooi, de malware had de rechten niet. Geen bekende vulnerabilities op de PC, dus relatief safe. Overigens wel zijn PC helemaal gewiped, gaan we geen risico mee lopen.
Als je geen oplossing zoals LAPS hebt geïmplementeerd, en er raakt maar één workstation gecompromitteerd, ben je de sjaak als daar nog geldige cached domain admin credentials op staan, of zodra je met zo'n (of ander hoog en hergebruikt) privilege remote op dat werkstation inlogt om te kijken wat er aan de hand is.
Dat is ook vrij simpel te voorkomen met een group policy. Wel een beetje jammer is dat als je die policy implementeert,
de login eerst wordt geaccepteerd en dus de credentials gecached, en daarna wordt je er weer uit gemikt.
Daar is wel enigszins omheen te werken door het aantal ge-cachte login credentials (dat kun je ook instellen) op 1 te zetten.
Of dat helemaal secure is (en die domain admin credentials niet nog ergens met een "deleted" indicatie op disk staan)
heb ik nooit uitgezocht.
Dan maakt het niet uit wie er de cryptolocker.exe aanklikt, want er komt alleen een "de systeembeheerder heeft dit programma geblokkeerd".
Leuk een incident response plan op punt drie. Maar zet een incident prevention plan dan op een, door gewoon alle security updates te installeren.
Een mooi artikel dus voor de Amerkanen om eens los van alle conrurrentie onderling aan tafel te gaan zitten over wederzijdse belangen. Die buiten ondeling geklier horen te vallen.
Misschien is het makkelijker en veiliger om dit soort mensen dan maar een type-machine te geven ipv toegang tot het netwerk.
Dan kunnen ze (bijna) niets meer verkeerd doen..
Het grootste probleem van IT-ers zijn die lastige mensen die niet met computers en netwerken om kunnen gaan.
Zonder die mensen zou alles perfect werken. :-)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Local Information Security Officer
Zorg jij ervoor dat we veilig met onze data omgaan? We zijn op zoek naar een security officer met aandacht voor informatie-beveiliging. Je zorgt voor opzet, monitoring en uitdragen van beleid op vlak van informatiebeveiliging. Dit doe je vanuit IT security en IT compliance perspectief voor de organisatie DFM N.V.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?