TLDR: als je niets aan je informatiebeveiliging verbetert, dan is de kans zeer groot dat je netwerk ten prooi valt aan criminelen die alle data versleutelen. Je hoeft alleen maar af te wachten en verder niets te doen!
Inleiding
In de afgelopen maanden is gebleken dat ransomware nog steeds aan haar opmars bezig is. Steeds meer organisaties vinden hun complete netwerk compleet versleuteld terug. Back-ups zijn verwijderd of mee versleuteld, waardoor ze onbruikbaar zijn. Ransomware wordt steeds geavanceerder. Op het moment dat je het in je netwerk hebt, dan kan je complete netwerk in minuten versleuteld zijn.
In deze blog beschrijf ik de receptuur voor nagenoeg gegarandeerde ransomware in je netwerk. In tegenstelling tot veel andere recepten hoef je niets te doen om het een succes te laten worden, als je lang genoeg wacht ben je vanzelf aan de beurt.
Mijn bedrijf is toch niet interessant?
Onder ondernemers en bestuurders leeft nog de misvatting dat alleen grote bedrijven een doelwit zijn voor criminelen. Helaas is dat niet het geval, we zien steeds meer MKB bedrijven ten prooi vallen aan ransomware. Iedere organisatie is namelijk inmiddels volledig afhankelijk geworden van automatisering. Criminelen weten dus ook dat veel organisaties zonder werkende IT niet kunnen overleven. Daarbij komt dat criminelen het gijzelen van netwerken grotendeels geautomatiseerd hebben, dus het maakt het niet zoveel meer uit welke organisatie ze gijzelen. Hun business case is altijd goed.
De kans op ransomware is toch heel klein?
Helaas wordt de kans op ransomware in je netwerk met de dag groter. Zoals beschreven wordt ransomware steeds geavanceerder. Voor beginnende criminelen zijn er verschillende ‘starterkits’ te krijgen, die ervoor zorgt dat zij snel aan de slag kunnen, zonder zelf veel kennis en kunde te hebben. Veel organisaties kiezen ervoor om te gijzelnemers te betalen, daarmee wordt de businesscase voor criminelen alleen maar beter. Criminelen weten ook dat het organisaties maanden kost om een netwerk weer helemaal opnieuw op te bouwen. Het betalen van losgeld wordt daardoor aantrekkelijker, veel bedrijven kunnen het zich namelijk niet permitteren om maanden out of business te zijn. De bedragen zijn ook niet mals: criminelen vragen enkele Bitcoins (Op 5-1-2021 € 26.000,- per stuk), dus enkele modale salarissen zijn zo snel verdiend. Ook is het zo dat veel van die gijzelnemers vanuit landen werken die niet zo bedreven zijn in het opsporen en vervolgen van online criminelen, dit alles maakt het voor deze criminelen steeds aantrekkelijker.
Wat is dan het recept?
Om ransomware in je netwerk te krijgen, zijn er een aantal ingrediënten van belang. Let op dat niet alle ingrediënten aanwezig hoeven te zijn om ransomware in je netwerk te krijgen.
Falend wachtwoordbeleid en ontbrekende multifactor authenticatie
Om van buitenaf toegang te krijgen tot een netwerk zijn inloggegevens nodig. Er wordt al langer benadrukt dat wachtwoorden uniek en voldoende lang moeten zijn. Omdat het vrij eenvoudig is om zwakke wachtwoorden geautomatiseerd te kunnen genereren en testen, lukt het criminelen om wachtwoorden relatief snel te achterhalen. Daarnaast is multifactor authenticatie van groot belang: naast gebruikersnaam en wachtwoord is dan nog een andere authenticatiemiddel nodig om in te kunnen loggen.
Hoe ze aan de gebruikersnamen komen? Ze kijken bijvoorbeeld gewoon naar hoe je emailadres is opgebouwd:, denk aan voorletter.achternaam@ of voornaam@. Dankzij de opmars van diensten als Office365 is het heel makkelijk geworden om een gebruikersnaam te raden, dat is namelijk in veel gevallen je complete emailadres. Dat emailadres is al bekend in verschillende mailinglijsten, distributiegroepen of andere kanalen, dus kwaadwillenden kunnen er ook relatief makkelijk achter komen. Aangezien het raden van gebruikersnamen ook geautomatiseerd kan worden, is het een kwestie van tijd dat je gebruikersnaam en wachtwoord geraden worden. Tenzij je een strek wachtwoord hebt, maar dat is wel lastig te onthouden natuurlijk.
Geen inzicht in inlogpogingen en netwerkverkeer
Bij veel organisaties ontbreekt het nog aan inzicht om criminelen te detecteren. Als je niet in de gaten houdt wie op welke momenten probeert in te loggen, dan merk je niet dat iemand vanuit het Oostblok 100 keer achter elkaar probeert in te loggen met verschillende gebruikersnamen en/of wachtwoorden.
Er zijn verschillende logs waarin dit soort activiteiten worden bijgehouden, maar als niemand ernaar kijkt…
Hetzelfde geldt voor vreemd netwerkverkeer binnen je netwerk. Als er niemand is die zicht houdt op het netwerkverkeer, dan heb je het ook niet in de gaten als een systeem verbindt met een verdachte bron. Of wanneer er ineens grote hoeveelheden data verstuurd worden, terwijl dat normaal niet gebeurt.
Gebruikers met domain admin rechten
Wanneer een crimineel in staat is om een werkplek over te nemen van een gebruiker die beheer rechten in het netwerk heeft, dan is het voor deze kwaadwillende nog makkelijker om een netwerk te compromitteren. De kwaadwillende hoeft dan namelijk geen enkele moeite meer te doen om alle systemen te kunnen versleutelen, hij kan namelijk overal makkelijk bij. Ook wanneer er ooit een gebruiker met beheer rechten ingelogd is geweest op de overgenomen werkplek, dan nog kan het mogelijk zijn om de inloggegevens van deze gebruiker uit het geheugen van de werkplek te halen. Hierdoor kan de aanvaller relatief eenvoudig over werkende admin rechten beschikken.
Systemen niet geüpdatet
Door software leveranciers worden doorlopend updates aangeboden. Irritant, want het kost tijd om ze te installeren en je moet vaak ook nog je software of hele computer opnieuw opstarten. Kwaadwillenden weten dit ook en maken daarom graag gebruik van zwakke plekken in softwaresystemen. Er vanuit gaande dat er altijd wel een gebruiker is die niet de laatste updates heeft, of die zich onhackbaar waant.
Ontbrekende segmentatie
Segmenteren van netwerken is het opdelen van netwerken in verschillende delen. Superhinderlijk als je vindt dat je overal bij moet kunnen toch? Criminelen zijn dankbaar, want als jij je netwerk niet opdeelt in een aantal lossen segmenten, is het voor hen aanzienlijk makkelijker om je hele netwerk over te nemen en te versleutelen.
Back-ups niet offsite
Het maken van back-ups ging een paar jaar geleden nog op tape. Dat kostte veel tijd en was voor veel organisaties handwerk. Gelukkig bestaat er ook een mogelijkheid om je bestanden geautomatiseerd te laten back-uppen. Veel organisaties kiezen ervoor om deze back-ups binnen het netwerk te bewaren, want dan kun je er makkelijk bij. Criminelen vinden dat ook: de aanwezige back-ups worden namelijk netjes mee versleuteld!
Zit je toch niet te wachten op ransomware?
Laat Guardian360 dan dagelijks controleren of je netwerk voorzien is van de laatste updates en patches. Ook zwakke wachtwoorden kunnen snel door ons gedetecteerd worden. Verschillende Guardian360 partners kunnen helpen met de overige vraagstukken.