Ransomware: Deze signalen waarschuwen dat u al aangevallen wordt… - ProteQtor IT Security B.V.

Ransomware: Deze signalen waarschuwen dat u al aangevallen wordt…

Een ransomware-aanval vindt niet 'ineens' plaats. Daar kan een maandenlange voorbereiding door cybercriminelen aan voorafgaan. Hier moet u op letten.

Het duurt gemiddeld 60 tot 120 dagen nadat een cyberaanvaller succesvol het bedrijfsnetwerk heeft binnengedrongen om zijn ransomware te activeren. Waarschijnlijk zitten in de bedrijfsnetwerken van honderden bedrijven ransomware klaar om op het juiste moment geactiveerd te worden, zonder dat deze bedrijven het beseffen.

More...

Eerste indicatoren van een ransomware-aanval

Dus wat zijn de eerste indicatoren voor bedrijven die proberen een ransomware-aanval te herkennen voordat ze te veel schade veroorzaken? Wat moeten ze doen als ze een lopende aanval ontdekken?

Allereerst vindt het encrypten van bestanden door ransomware als laatste plaats. Daarvoor zullen de cybercriminelen weken, of zelfs langer, rondhangen in het netwerk om te onderzoeken wat de zwakke plekken zijn. 

Remote Desktop Protocol: een gewilde route om te hacken

Een van de meest voorkomende routes voor ransomwarebendes om in bedrijfsnetwerken te komen, is via Remote Desktop Protocol (RDP) links die openstaan voor het internet. Dankzij het Remote Desktop Protocol kunnen we toegang krijgen tot een ander pc of serveromgeving. Denk hierbij aan het inloggen op een applicatie of het overnemen van een anders laptop voor bijvoorbeeld support. Deze toegangen zijn veelal afgeschermd met een gebruikersnaam en wachtwoord.

Vanwege coronabesmettingsgevaar is het advies van de overheid nog steeds om zoveel mogelijk thuis te werken. Veel organisaties hebben daarom veel meer RDP-links openstaan om het op afstand werken zoveel mogelijk te vergemakkelijken. Hierdoor neemt de kwetsbaarheid voor ransomware-aanvallen toe.

Herken de signalen en kom in actie

In een interview met ZDnet geeft Jared Phipps, VP van SentinelOne - het bedrijf achter het gelijknamige endpoint protection platform - aan, dat de eerste stap is om de eigen kwetsbaarheid wat RDP-links betreft in kaart te brengen en die toegangen snel met twee-factor-authenticatie te beveiligen of ze achter een VPN te plaatsen.

Een ander waarschuwingssignaal kan zijn, dat er onverwachte softwaretools op het netwerk verschijnen. Aanvallers zullen beginnen met het verkrijgen van de controle over slechts één PC op een netwerk. Grote kans dat die aanval begint met een phishing-e-mail.

Over phishing e-mails gesproken: ontvangen meerdere collega's een (zelfde) phishing e-mail, dan kan dat een indicatie zijn van een op handen zijnde aanval. Het is van groot belang dat die medewerkers die e-mails als phishing e-mails herkennen en daar alarm over slaan. De organisatie krijgt hiermee een vroege waarschuwing. Security awareness trainingen zijn geen overbodige luxe.

Zodra de aanvallers toegang tot één apparaat (laptop, desktop of smartphone) hebben verkregen, dan zullen ze vanuit dat bruggenhoofd uw bedrijfsnetwerk verkennen om nog meer zwakke plekken te ontdekken.

Dat betekent dat ze gebruik maken van netwerkscanners, zoals AngryIP of Advanced Port Scanner. Worden deze op uw netwerk ontdekt, dan is het zaak om intern na te vragen of iemand deze tools gebruikt. Als dat niet het geval is, dan moet u serieus rekening houden dat er een ransomware-aanval op uw organisatie wordt voorbereid.

Een andere moment waar bij de alarmbellen moeten afgaan, is als het softwareprogramma MimiKatz op uw netwerk wordt gevonden. MimiKatz is één van de tools die hackers, samen met Microsoft Process Explorer, gebruiken om wachtwoorden en inloggegevens te stelen.

Op jacht naar administratorrechten

Eenmaal binnen in uw netwerk zullen ransomwarebendes op jacht gaan naar administratorrechten. Waarschijnlijk zullen zie die krijgen door zelf administratoraccounts aan te maken, bijvoorbeeld in Active Directory. Met hun uitgebreide rechten zullen ze beginnen met het uitschakelen van beveiligingssoftware met behulp van applicaties die zijn gemaakt om te helpen bij het gedwongen verwijderen van software, zoals Process Hacker, IOBit Uninstaller, GMER, en PC Hunter. Het beveiligingsbedrijf Sophos waarschuwt dat deze soort commerciële tools vaak legitiem zijn, maar in de verkeerde handen kunnen ze heel schadelijk zijn. Eenmaal gedetecteerd, is de vraag waarom ze er überhaupt zijn. De kans is zo'n geval aannemelijk dat het om cyberaanvallers gaat.

Om te voorkomen dat dit gebeurt, moeten bedrijven op zoek gaan naar accounts die buiten uw ticketing- of accountmanagementsysteem zijn aangemaakt, aldus SentinelOne's Phipps. Als de aanvallers eenmaal de beheerdersbevoegdheden hebben gekregen, proberen ze zich vervolgens verder te verspreiden over het netwerk, met behulp van PowerShell.

De hele voorbereiding tot het daadwerkelijke moment dat de ransomware geactiveerd wordt kan weken, en misschien zelfs maanden, duren. Dat komt omdat hackers zich zo langzaam mogelijk door het netwerk bewegen, zodat de kans dat ze ontdekt worden zo klein mogelijk is. En veel beveiligingstools leggen slechts een bepaalde tijd het verkeer op het netwerk vast, wat betekent dat als de hackers het een tijdje volhouden, het voor de beveiligingsteams veel moeilijker wordt om uit te zoeken hoe ze überhaupt in het systeem terecht zijn gekomen.

Klaar voor de ransomware-aanval

Er zijn ook duidelijke tekenen dat een ransomware-aanval bijna klaar is. De aanvallers zullen proberen om Active Directory en domeincontrollers uit te schakelen en eventuele back-ups die ze kunnen vinden te corrumperen, evenals het uitschakelen van software-implementatiesystemen die gebruikt zouden kunnen worden om patches of updates te pushen. En dan barst de ransomware-aanval los met alle desastreuze gevolgen van dien.

Sophos merkte ook op dat sommige cybercriminelen eerst hun aanval zullen testen op een aantal apparaten om te zien of hun plan gaat werken. Hierdoor worden ze wel zichtbaar, dus de echte aanval zal niet lang op zich laten wachten.

Stappen tegen hackers die al in uw netwerk zijn

Hoe kunt u de aanvallers tegenhouden als ze binnen zijn? Dit zijn de belangrijkste stappen:

  • Krijg controle over de RDP-sessies, omdat dát de aanvallers tegenhoudt om binnen te komen en hun command-and-control toegang af te snijden.
  • Forceer een wachtwoordwijziging opde core systemen. Wantals de hackers in staat zijn om RDP te gebruiken om weer in het netwerk te komen, bent u weer terug bij af.
  • Controleer op onverwachte admin-accounts die verschijnen
  • Overweeg om het gebruik van PowerShell te controleren of te beperken.

Stappen om ransomware te voorkomen

Voorkomen is beter dan genezen, dus hoe kunt u uw organisatie een moeilijker, en dus minder aantrekkelijk, doelwit maken voor ransomwarebendes?

Onderneem onderstaande stappen om ransomware-aanvallers de pas af te snijden. Des te meer dat u toepast, des te beter uw verdediging is.

  • Goed patchmanagement, m.a.w zorg dat uw software gepatcht en up-to-date blijft; veel ransomware-aanvallen zijn afhankelijk van softwarefouten om te werken, maar de meeste van deze fouten zijn al lang verholpen door softwarebedrijven - u hoeft alleen maar de patch te beheren.
  • Train uw personeel om niet op willekeurige links te klikken door ze security awareness trainingen te laten volgen. Wizer biedt laagdrempelige maar effectieve trainingen aan in de vorm van 1-minuut videos, quizen en phishingsimulaties. Meer op zoek naar security awareness trainingen met meer uitgebreide functies en rapportages, dan is Proofpoint een geschikter platform.
  • Zet endpoint protection in die speciaal daarvoor ontwikkeld is. SentinelOne is zo'n cybersecuritytool die door gebruik van AI uw laptops,desktops en servers beschermt. Zodra een ransomware-aanval start, wordt de aanval snel in de kiem gesmoord en eventuele versleutelde bestanden worden via een roll-back weer beschikbaar.
  • Gebruik mobile security om uw smartphones en tablets te beschermen, want phishinglinks zijn uiterst effectief in e-mails, messages en sms-en op een mobiel. Lookout is bij uitstek de cybersecurity tool om uw medewerkers tegen phishing-aanvallen die ransomwarepakketten afleveren,  op hun mobiel te beschermen.
  • Pas webfiltering toe en zorg dat uw medewerkers niet naar verdachte websites gaan of verdachte emails ontvangen. Wat niet binnenkomt, kan ook niet op geklikt worden. NSOC360 Safeweb en Proofpoint Essentials zijn tools die verdachte websites en e-mails eruit filteren.
  • Pas Twee-Factor Authenticatie (2FA) of nog beter Multi-Factor Authenticatie (MFA) aan om wachtwoorden te beschermen. Een ontfutseld wachtwoord levert dan niet direct een gevaar op. Tools zoals Watchguard AuthPoint en Okta bieden deze MFA-bescherming.

Dit artikel is gebaseerd op en is een vrije vertaling van het artikel Ransomware: these warning signs could mean you are already under attack dat in ZDnet stond.

Wilt u de bovengenoemde tools hebben om uw organisatie en uw data te beschermen? We bieden ze ook als securitypakket aan. Alle tools samen voor een overzichtelijk maandelijks prijs.

Interesse om uw organisatie beter te beschermen tegen ransomware of andere cyberaanvallen, maar wilt u meer informatie? Bel ons vrijblijvend op 088-0660770 en vraag naar Erwin of Frank. Of plan zelf een afspraak in. Samen kunnen we kijken wat voor u de snelste oplossingen zijn.

Mark van Horik

Mark is mede-oprichter en managing partner van ProteQtor IT Security. Mark schrijft en geeft lezingen over onderwerpen die te maken hebben met privacy, cybersecurity en marketing technology.