image

Amerikaanse overheid luidt noodklok over ransomware

woensdag 31 juli 2019, 10:39 door Redactie, 16 reacties
Laatst bijgewerkt: 31-07-2019, 11:43

De Amerikaanse overheid luidt de noodklok over de recente aanvallen met ransomware en vraagt overheidsinstanties en organisaties om meteen maatregelen te nemen. De afgelopen maanden zijn tal van overheden, overheidsorganisaties en gemeenschappen door ransomware getroffen.

Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security onderstreept het groeiend aantal aanvallen het belang van voorzorgsmaatregelen en netwerkbeveiliging. "Preventie is de beste bescherming tegen ransomware", aldus het CISA. De organisatie roept alle lokale en staatsoverheden op, alsmede de gehele "cybergemeenschap", om drie essentiële maatregelen tegen ransomware meteen door te voeren.

Als eerste moet belangrijke systeemconfiguratie nu en vervolgens dagelijks op een apart systeem worden geback-upt en moeten de back-ups op een offline systeem worden opgeslagen. Verder is het essentieel dat medewerkers training krijgen over phishing, cyberdreigingen en verdachte links, wat de meestgebruikte manier is om ransomware te verspreiden, aldus het CISA. "Ransomware-aanvallen slagen vaak alleen dankzij het menselijke element", zo laat de overheidsorganisatie verder weten. Als laatste moeten instanties over een incident response plan beschikken in het geval een aanval zich toch voordoet.

Reacties (16)
31-07-2019, 11:29 door Anoniem
Ja... sorry, maar als de IT afdeling een budget vraagt voor "SECURITY" en dat hard geweigert word moet je daarna niet gaan klagen als jouw werk en prive data opeens gelocked zijn...

Ik lees steeds vaker en vaker dat Amerika aangevallen word door ransomware... al een paar maanden... doe er dan wat aan man :S.

Nou snap ik wel dat er heel wat bedrijven zijn waar IT echt slecht is maar dit gaat om de overheid. Hier moeten wel goed IT managers werken... anders ga ik daar wel even solliciteren :-)
31-07-2019, 11:31 door Anoniem
Dat wordt een nieuwe fail; backuppen op een offline systeem.... Dat moet misschien offsite zijn
31-07-2019, 11:39 door Anoniem
Verder is het essentieel dat medewerkers training krijgen over phishing, cyberdreigingen en verdachte links, wat de meestgebruikte manier is om ransomware te verspreiden.

Een volslagen kansloze bezigheid. Er hoeft er maar 1 tussen te zitten, en die zit er altijd tussen, en je netwerk raakt geinfecteerd. Beter is om uit te gaan van het onveilige handelen van medewerkers en je beveiliging en netwerkontwerp daarop aan te passen.
31-07-2019, 12:11 door Anoniem
Zolang de focus op die regio ligt, blijft het andere regio's bespaard.
Maar wat als de focus wordt verlegd naar een andere regio?
Zouden overheidssystemen in andere regio's hier al beter weerstand tegen kunnen bieden?
(ik vrees het ergste)
31-07-2019, 12:47 door Anoniem
Ik zou ook een restore test in de procedure opnemen waarbij de data ook daadwerkelijk ingezien wordt (steekproef).

Loop je alleen nog risico van malware welke on the fly encryptie/decryptie toepast totdat de key verwijderd wordt. Die is nog niet in het wild gezien geloof ik.
31-07-2019, 13:31 door Anoniem
@ anoniem van 12:11

Kijk dan eens hier waar de aanvallers en de aangevallenen zitten: https://threatmap.checkpoint.com/ThreatPortal/livemap.html

Dan kun je gaan geo-blokkeren. Als Israël zou ik bijvoorbeeld bepaalde Nederlandse ranges blokkeren bijvoorbeeld, gezien het grote aantal recente aanvallen. Heb je thuis een bepaalde av oplossing kun je geo-blokkeringen doen voor regio's met 100% proliferatie van zulke software. Daar wordt namelijk alle malware op deze software getest. In de achtertuin hoef je ook niet bang te zijn voor eigen hackers, de risico's voor overtreders is daar te groot om aangepakt te worden in plaats van dat hun activiteiten elders worden gedoogd.

Voor de rest goede in-house back-up procedures, want ook in de cloud kun je niet altijd 100% vertrouwen hebben.

J.O.
31-07-2019, 14:03 door Anoniem
Door Anoniem: Dat wordt een nieuwe fail; backuppen op een offline systeem.... Dat moet misschien offsite zijn
Nee, hier wordt offline bedoeld voor ransomware. Offsite kan nog steeds een netwerkverbinding hebben en ook encrypt worden. Het is om andere redenen goed om een offsite back-up te hebben, zoals brand.

Eigenlijk moet het dus een offline back-up op een offsite locatie zijn.
31-07-2019, 14:13 door Bitwiper
Back-uppen is verstandig, maar het probleem hier is dat de malware domain admin rechten weet te krijgen - waarna je van scratch je hele domain weer kunt gaan opbouwen (inclusief DC's, servers en alle werkstations). Want dan kun je niks meer vertrouwen, mogelijk ook je back-ups niet. Als je oudere back-ups gaat terugzetten, zullen ondertussen gewijzigde wachtwoorden niet meer kloppen. Kortom, ook met back-ups is zo'n hersteloperatie gewoon ontzettend veel werk.

Als je geen oplossing zoals LAPS hebt geïmplementeerd, en er raakt maar één workstation gecompromitteerd, ben je de sjaak als daar nog geldige cached domain admin credentials op staan, of zodra je met zo'n (of ander hoog en hergebruikt) privilege remote op dat werkstation inlogt om te kijken wat er aan de hand is.
31-07-2019, 14:14 door Anoniem
Door Anoniem: Ja... sorry, maar als de IT afdeling een budget vraagt voor "SECURITY" en dat hard geweigert word moet je daarna niet gaan klagen als jouw werk en prive data opeens gelocked zijn...

Ik lees steeds vaker en vaker dat Amerika aangevallen word door ransomware... al een paar maanden... doe er dan wat aan man :S.

Nou snap ik wel dat er heel wat bedrijven zijn waar IT echt slecht is maar dit gaat om de overheid. Hier moeten wel goed IT managers werken... anders ga ik daar wel even solliciteren :-)
Wie zegt alleen dat het een budget issue is?
Veel van de security problemen komt voornamelijk uit Legacy Applicaties die niet met de security maatregelen overweg kan.
31-07-2019, 15:33 door DLans
Door Anoniem:
Verder is het essentieel dat medewerkers training krijgen over phishing, cyberdreigingen en verdachte links, wat de meestgebruikte manier is om ransomware te verspreiden.

Een volslagen kansloze bezigheid. Er hoeft er maar 1 tussen te zitten, en die zit er altijd tussen, en je netwerk raakt geinfecteerd. Beter is om uit te gaan van het onveilige handelen van medewerkers en je beveiliging en netwerkontwerp daarop aan te passen.

Helemaal mee eens. Ga er gewoon altijd van uit dat er een sukkel tussen zit die iets (per ongeluk) uitvoert. Zorg er gewoon voor dat mensen echt beperkte rechten hebben, dat wanneer bijvoorbeeld cryptolockers onder hun credentials draait maar zeer beperkt zaken kunnen infecteren. Combineer strakke rechten met up-to-date machines en je zou redelijk goed moeten zitten.

Bij een van onze klanten had iemand een keer iets geopend, jammer maar helaas was zijn H: schijf en twee netwerk folders gelockt. Backup terugzetten en klaar. Niets geen verdere verspreiding van de rotzooi, de malware had de rechten niet. Geen bekende vulnerabilities op de PC, dus relatief safe. Overigens wel zijn PC helemaal gewiped, gaan we geen risico mee lopen.
31-07-2019, 18:57 door Anoniem
Door Bitwiper:
Als je geen oplossing zoals LAPS hebt geïmplementeerd, en er raakt maar één workstation gecompromitteerd, ben je de sjaak als daar nog geldige cached domain admin credentials op staan, of zodra je met zo'n (of ander hoog en hergebruikt) privilege remote op dat werkstation inlogt om te kijken wat er aan de hand is.
Wie logt er nou in als een Domain Admin op een werkstation? Dan heb je het toch niet helemaal begrepen...
Dat is ook vrij simpel te voorkomen met een group policy. Wel een beetje jammer is dat als je die policy implementeert,
de login eerst wordt geaccepteerd en dus de credentials gecached, en daarna wordt je er weer uit gemikt.
Daar is wel enigszins omheen te werken door het aantal ge-cachte login credentials (dat kun je ook instellen) op 1 te zetten.
Of dat helemaal secure is (en die domain admin credentials niet nog ergens met een "deleted" indicatie op disk staan)
heb ik nooit uitgezocht.
31-07-2019, 20:55 door Anoniem
Door DLans:Zorg er gewoon voor dat mensen echt beperkte rechten hebben, dat wanneer bijvoorbeeld cryptolockers onder hun credentials draait maar zeer beperkt zaken kunnen infecteren. Combineer strakke rechten met up-to-date machines en je zou redelijk goed moeten zitten.
Veel gemakkelijker: zorg dat de medewerkers alleen executables mogen uitvoeren van vertrouwde locaties, waar ze geen schrijfrechten hebben. Dus niet vanuit locaties in hun eigen userprofiel zoals temp directories, download directories, externe schijven, etc.
Dan maakt het niet uit wie er de cryptolocker.exe aanklikt, want er komt alleen een "de systeembeheerder heeft dit programma geblokkeerd".
31-07-2019, 22:14 door dnmvisser
Typisch ambtenaren, alleen symptoombestrijding en niet de oorzaak aanpakken. Al dat ransom spul exploit vulnerabilities waar al maanden/jaren patches voor zijn. Conclusie: de Pro++ beheerders hebben maanden/jarenlang geen updates gedraaid.
Leuk een incident response plan op punt drie. Maar zet een incident prevention plan dan op een, door gewoon alle security updates te installeren.
31-07-2019, 23:45 door Anoniem
In de Geneva Convention is ooit veel afgesproken. Ook dat je niks mag beschieten waar een rood kruis op staat of een rode halve maan. Dat was en is nog steeds belangrijk voor alle staten. Als een ziekenhuis in Rusland of China of Noord Korea wordt platgelegd met ransomeware dan is dat net zo erg want daar liggen net zo goed mensen die hulp nodig hebben.

Een mooi artikel dus voor de Amerkanen om eens los van alle conrurrentie onderling aan tafel te gaan zitten over wederzijdse belangen. Die buiten ondeling geklier horen te vallen.
01-08-2019, 07:34 door Anoniem
Door Anoniem: Veel gemakkelijker: zorg dat de medewerkers alleen executables mogen uitvoeren van vertrouwde locaties, waar ze geen schrijfrechten hebben. Dus niet vanuit locaties in hun eigen userprofiel zoals temp directories, download directories, externe schijven, etc.

Misschien is het makkelijker en veiliger om dit soort mensen dan maar een type-machine te geven ipv toegang tot het netwerk.
Dan kunnen ze (bijna) niets meer verkeerd doen..

Het grootste probleem van IT-ers zijn die lastige mensen die niet met computers en netwerken om kunnen gaan.
Zonder die mensen zou alles perfect werken. :-)
02-08-2019, 10:21 door Anoniem
Er moet een verbod op het betalen aan die gasten. Dit is nu big business!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.