Blog Ransomware: niet te voorkomen, wel te stoppen!

In de afgelopen twee jaar is het aantal ransomware-aanvallen flink gestegen. En waar het in het begin nog ging om het encrypten van de bestanden om zo bedrijven te dwingen om te betalen, wordt nu steeds vaker eerst de data uit de omgeving gekopieerd en worden bedrijven gechanteerd met het vrijgeven van de veelal confidentiële data.

Naast dat bedrijven ettelijke dagen of weken niet kunnen werken, komt dan ook nog het datalek erbovenop. Betaal je als bedrijf niet, dan wordt de data vrijgegeven en heeft iedereen er toegang toe.

Maar hoe werkt een dergelijke aanval dan? Hoe komt deze binnen in een omgeving en vooral wat kan u ertegen doen?

Hoe komt ransomware binnen?

Eigenlijk zijn er drie methodes die momenteel veel voorkomen.

Weak credentials: Hackers doen zeer regelmatig en massaal brute force-aanvallen, gericht tegen servers en andere online devices. Als weak credentials gebruikt worden, dan is de kans aanwezig dat de brute force slaagt en de hacker zich toegang kan verschaffen tot de machine. In een test die we als Insight hebben gedaan met een Ubuntu-server zagen we dat deze binnen 24 uur aangevallen werd. De software op de server in combinatie met Microsoft ATP gaf ons heel veel inzicht in de aanval en wat er uiteindelijk werd geprobeerd. Aangezien we dit in een sandbox-omgeving deden hebben we het wachtwoord met opzet zwakker gemaakt. Binnen 60 uur lukte de aanval en werd de server overgenomen. Het wachtwoord bestaande uit 8 alfanumerieke karakters, inclusief hoofdletters heeft het dus nog geen drie dagen volgehouden.

Vulnerabilities: Het patchen van software, appliances, firewalls etc…, is een belangrijk deel van de dagelijkse werkzaamheden van een administrator. Maar zaken als bedrijfsprocessen en het maken van risico-inschattingen zorgen ervoor dat patches vaak pas een week of twee weken later worden uitgevoerd. In dat tijdsbestek kan een hacker misbruik maken van de vulnerability en zich toegang tot de interne omgeving verschaffen.

Human error: Dit is de meest voorkomende vorm en voor hackers ook de makkelijkste. Met doelgerichte spearphising wordt een gebruiker in de val gelokt. Denk aan een e-mail van de HR-afdeling met een document dat de gebruiker moet downloaden van een Teams-omgeving of OneDrive-omgeving. De gebruiker klikt op de link en wordt dan verzocht om in te loggen. Op het moment dat hij dat doet geeft hij als het ware zijn gebruikersnaam en wachtwoord af en kunnen hackers deze gebruiken. Een ander voorbeeld betreft Word en Excel-bestanden, waarbij de gebruiker na het openen wordt gevraagd een plugin te laden die nodig is om de content te tonen.

Hoe werkt een ransomware-aanval?

Vaak wordt gedacht dat als een omgeving geïnfecteerd raakt dat de ransomware meteen zijn werk doet. Dat is onjuist. Uit een rapport van FireEye blijkt dat er gemiddeld 56 dagen tussen de besmetting en de detectie van de besmetting zit. In die 56 dagen voeren hackers diverse stappen uit om hun aanval te maximaliseren. De “echte” aanval vindt dus veel eerder plaats dan dat de ransomware actief wordt.

Stappen die ze nemen zijn veelal:

• In kaart brengen van het netwerk, IP-ranges, netwerktopologie, maar ook welke servers en clients staan er, met welk OS, en zijn ze afdoende gepatcht.
• Op diverse servers wordt een worm geplaatst zodat ze met de server of het device kunnen communiceren en de controle in handen hebben om de aanval te maximaliseren.
• Een heel belangrijke stap is het ophalen van accounts en wachtwoorden, maar vooral het verkrijgen van elevated privileges, zodat ze zelf admin-accounts kunnen aanmaken.
• Data wordt van shares gekopieerd naar externe datastores op darknet, zodat het bedrijf maximaal gechanteerd kan worden. Het gaat hier veelal om de confidentiële data, gebruikersdata blijft vaak buiten schot.
• Naast bovenstaande stappen wordt actief gezocht naar back-upservers of -systemen en worden deze gecompromitteerd, zodat het restoren van data nagenoeg onmogelijk wordt.

Dit zijn vooral voorbereidende stappen. Wanneer ze genoeg data hebben, de back-up hebben weten uit te zetten en voldoende rechten hebben vergaard, gaat er een signaaltje naar de worm op de diverse servers en binnen een paar tellen merkt een bedrijf dat er een groot probleem is.

Hoe te beschermen tegen ransomware?:

Mogelijk denkt u dat het haast onmogelijk is om uw organisatie effectief te beschermen tegen ransomware. En dat is vaak ook zo. Maar het is wel goed mogelijk om de aanval te detecteren nog voordat de ransomware geactiveerd wordt. Als standaard verdediging kunnen onderstaande stappen doorlopen worden.

• Multi-factor authentication (MFA): Het inrichten van MFA is al een belangrijke stap. Naast een gebruikersnaam en een wachtwoord is dan ook een token of sms-code nodig om succesvol in te loggen. Vaak krijg ik de vraag om MFA in te regelen bij klanten, maar als je MFA echt succesvol wilt inregelen dan is conditional access de overtreffende trap. Met behulp van Conditional Access kunnen we MFA perfect inregelen zonder dat een eindgebruiker elke keer zijn token moet ingeven. En brute force-aanval loopt meteen stuk omdat ze de sms-token of hardware-token niet hebben. Nog mooier is dat de brute force-aanval meteen gedetecteerd wordt en je als bedrijf zijnde meteen weet dat er iets aan de hand is.
• Credential hygiene: Niet alleen het verplicht wijzigen van het wachtwoord elke x dagen, maar vooral een stuk ondersteuning als password lengte en password complexiteit zijn belangrijk, maar ook tools als Credential Guard en Password Leak Detection kunnen heel goed helpen om een aanval te voorkomen
• Patch management: Eerlijk gezegd mag ik hopen dat dit wel duidelijk is. Helaas zien we nog te vaak dat bedrijven servers en firewalls niet afdoende patchen. Patchmanagement en update- management zijn zo ongeveer de meest belangrijke processen voor een IT-afdeling.
• Endpoint malware protection: Met een traditionele antivirusoplossing kom je er tegenwoordig niet meer. Het inzetten van Machine Learning en Artifical Intelligence voor attack surface reduction en behaviour analyses zijn haast een noodzaak geworden.
• Principle of least privilege: Nog te vaak zien we dat admin-accounts gecompromitteerd worden en zelfs aangemaakt worden. Bij bedrijven die PIM, Privileged Identity Protection gebruiken is dat haast onmogelijk. Admin-accounts hebben standaard rechten en als ze admin-taken willen uitvoeren dan word via PIM hun rechten tijdelijk verhoogd om de taak te volbrengen. De rechten worden automatisch na een bepaalde tijd weer teruggezet. Op deze manier bestaan er geen echte unlimited admin-accounts meer. En als je PIM met behulp van Conditional Access inricht wordt er bij elevated privileges gelijk om een MFA-token gevraagd.

Drie-lagen-model

Omdat we bij Insight steeds meer vragen krijgen over ransomware en onze klanten maximaal willen ondersteunen hebben we een uniek drie-lagen-model ontwikkeld. Als dit model wordt geïmplementeerd, zal ransomware, maar vooral de aanval vooraf, gestopt worden voordat er echte schade is.

Als eerste laag wordt inkomend verkeer, en dan met name e-mail, geverifieerd op ransomware of andere malicious code. Spearphishing met besmette Word en Excel-bestanden worden daarmee nagenoeg onmogelijk, omdat de aanval gedetecteerd wordt. Maar ook links die naar nagemaakte OneDrive-pagina’s leiden worden gedetecteerd en gestopt.

In de tweede laag wordt op de endpoints gemonitord en abnormaal gedrag gedetecteerd. Bij detectie wordt het device geïsoleerd waardoor toegang tot de bedrijfsdata, e-mail en andere systemen wordt tegengehouden. Het device kan dan niet misbruikt worden om andere devices of servers te besmetten.

In de derde laag wordt gemonitord op lateral movement. Als de eerste twee stappen falen, dan wordt in deze laag het aanmaken van accounts en het kopiëren van data gedetecteerd en tegengehouden. Tevens monitort deze laag op netwerk searches, IP-scans, etc.

Als Insight dit drie-lagen-model implementeert, wordt de klant aangesloten op een maandelijkse Security Maintenance Service, waardoor elke maand weer de regels aangepast worden op basis van best practices en om de nieuwste vormen van ransomware te stoppen nog voordat data gekopieerd wordt.

Wilt u meer weten hoe ransomware te stoppen of over onze Security Maintenance Service of basis van het drie-lagen-model? Schroom dan niet om contact op te nemen met uw Insight- accountmanager