Don’t WannaCry?

Aandachtspunten na wereldwijde cyberaanval

Acties_auto_auto_c640_c440_q_Wannacry

Afgelopen weekend bereikte, volgens Europol, een cyberaanval met de ransomware worm WannaCry/WannaCrypt wereldwijd minstens 200.000 systemen. Hierbij wat begrijpelijke tekst en uitleg alsook aandachtspunten.

WannaCry is ransomware die een (inmiddels in maart 2017 gepatchte) lek in Microsoft Windows gebruikt om zich te verspreiden via interne netwerken. Wanneer een systeem is gïnfecteert, scant deze het interne netwerk om andere systemen aan te steken. De hiervoor gebruikte exploit, genaamd Eternalblue SMB, heeft betrekking op op alle versies van Windows die nog niet gepatcht zijn met de update MS17-010, die Microsoft op 14 maart jl. uitbracht. Windows 10 en Windows Server 2016 zijn hier wel standaard tegen beschermd. Microsoft adviseert gebruikers van oudere versies van Windows om zo snel mogelijk hun systeem te updaten. Het bedrijf heeft een onder andere een patch uitgebracht voor Windows onder vermelding van MS17-010 welke deze exploit moet dichten.

Specialisten op dit gebied raden gebruikers en beheerders aan om het SMBv1 protocol uit te zetten en SMB connecties van het internet (lees: rechtstreekse toegang tot bestanden over het Internet) te blokkeren. Haal bij voorkeur de systemen die niet geüpdate zijn van het Internet alsook van het interne netwerk. En uiteraard is het waarborgen van goede back-ups van de belangrijke gegevens een pure noodzaak! Het is en blijft van groot belang je bij ieder ontvangen E-mail bericht af te blijven vragen of dat bericht te vertrouwen is. De gevaarlijke mails worden steeds moeilijker van normale mails te onderscheiden en dus nemen de risico’s daarmee evenredig toe. Alertheid en bewustwording hieromtrent blijft absoluut geboden.

Gelukkig is er in deze worm een fout geslopen bij het maken ervan. Hierdoor is de slagkracht van deze worm minder optimaal dan dat de makers ervan aanvankelijk bedoeld hadden. Onderzoekers van Kaspersky Lab hebben inmiddels een zogenaamde ‘gemuteerde’ vorm van het virus gevonden, welke naar verluidt niet deze fout bevat en zich dus nog moeilijker zal laten afstoppen bij de bestrijding ervan.

En nu?

  • Zorg dat alle systemen up-to-date zijn.
  • Klik nog steeds niet op Internet-linkjes die je niet vertrouwen kunt c.q. niet kent en/of verwacht.
  • Zorg dat de backup dagelijks mee extern gaat en niet onnodig aan het netwerk hangt.
  • Scan en screen preventief (gebruik een up-to-date anti-virus product).
  • Beperk het gebruik van (voornamelijk gratis) WiFi waarvan je de mate van beveiliging niet kent.
  • Beperk toegang van buitenaf over VPN (waardoor systemen onderdeel uit komen te maken van het interne netwerk).
  • Sluit rechtstreekse toegang via SMB over het Internet naar bestanden/mappen af en zoek naar alternatieven.

Het pijnlijke van het uitbreken van deze worm is dat dit voorkomen had kunnen worden als eerder aan het licht gekomen was dat de Amerikaanse overheid deze exploit misbruikte voor ongevraagde toegang tot systemen. Microsoft President and Chief Legal Officer van Microsoft Brad Smith spreekt zich in zijn blog dan ook uit over de noodzaak van dringend collectief actie om mensen veilig online te houden!

Ransomware is ‘booming business’…

Er is door Kaspersky onderzoek gedaan naar Ransomware, lees hier het rapport.

Gebleken is dat er tussen april 2015 en maart 2016, meer dan 2,3 miljoen mensen met ransomware in aanraking gekomen zijn, maar liefst een toename van 18% ten opzichte van het jaar ervoor.

Meegerekend is de malware die alleen blokkeert en de data niet versleuteld. De zogenoemde ‘cryptors’ die wel de data versleutelen zijn daarbij enorm toegenomen. Deze maken nu 32% van alle ransomware-aanvallen uit, dit was in 2015 nog slechts 7%.

Tussen de 5,5 en 6 keer zoveel mensen (zowel zakelijk als privé) kregen met dergelijke aanvallen te maken. De zakelijke aantallen voeren daarbij wel de boventoon en daarom ook meent Kaspersky dat criminelen het doelbewust op de zakelijke gebruikers voorzien hebben voornamelijk met de cryptors. Deze worden veelal toegepast in zakelijke documenten als facturen en sollicitaties.

Er lijkt ook vaker betaald te worden voor deze afpersingspraktijken daar ook opgevallen is dat de prijzen hiervoor omhoog gegaan zijn.

De tendens is helaas nog steeds stijgend en het advies is absoluut nooit te betalen, de software up-to-date te houden, de backup goed geregeld te hebben, te werken met preventieve beveiliging en de gebruikers afdoende te trainen om dergelijke vormen van aanvallen vroegtijdig te onderkennen.

computer_virus_cartoon_image

Zo maakt u cryptolockers kansloos…

Cryptolockers verspreiden zich als een olievlek door bedrijfsnetwerken. Corrupte bestanden kunnen uw organisatie zelfs de kop kosten. Hoe wapent u zich tegen deze cybercriminaliteit?nieuws_auto_auto_c660_c440_q95_shutterstock_180028340-cloud-sec-newBijna failliet door cryptolocker

Laatst belde een klant die bijna zijn faillissement kon aanvragen na een besmetting. De locker had zich een weg gebaand door alle bedrijfskritische informatie en bereikte de back-up. Gevolg: de data van een compleet boekjaar weg. Gelukkig vond hij een kopie van een jaar oud en kon zijn bedrijf nog net worden gered. Dit is helaas niet het enige spookverhaal. Per week hangen zeker twee tot drie klanten aan de lijn die te maken krijgen met cryptolockers. Ze zijn op dit moment in de mode. Cybercriminelen verdienen er bakken met geld mee. Een beetje geslaagd ‘project’ levert zo’n 300 miljoen dollar op.

Alert op verdachte e-mails

Honderd procent garanties geven kan natuurlijk nooit. Maar er is een strategie om het risico tot een minimum te beperken. Dat begint bij bewustwording. Zo’n tachtig tot negentig procent van de cryptolockers dringt via e-mail binnen. Vaak gaat het om schimmige spookmails uit naam van bijvoorbeeld een creditcardmaatschappij of pakketdienst. Of u even een iets wilt controleren via een meegestuurde link. En ja, dan happen de meesten natuurlijk. Zonder dat u er erg in heeft, activeert u de cryptolocker. Stel uzelf altijd de vraag: is het aannemelijk dat de inhoud van deze mail klopt? Bij twijfel: nooit links in de e-mail openen, raadpleeg een collega of bel uw IT-dienstverlener voor advies!

Back-up in de cloud

Naast trainingen in bewustwording adviseren ik om dagelijks – of soms meerdere keren per dag – back-ups in de cloud te maken van de meest bedrijfskritische informatie. Maak ook van minder gevoelige data elke dag een back-up die fysiek gescheiden blijft van het netwerk. De verhalen dat namelijk ook de kopie besmet raakte, zijn helaas bij mij bekend. Ik raad verder aan om regelmatig de complete netwerkwerkomgeving te back-up’en. Ook nu geldt: gescheiden van het netwerk bewaren. De securitybedrijven zitten natuurlijk ook niet stil. We implementeren wekelijks software die het gedrag van cryptolockers herkent en signaleert. Maar wie is wie een stap voor? Dat blijft een spel tussen cybercrimineel en software-ontwikkelaar.

Referentie: Security Oplossingen en Datamex Blog

 

Business Trip Journal – Chicago (USA) – Dag 7 (10-5-2015)

Vanmorgen vroeg opgestaan om te starten met achterstallige E-mail af te werken.
Op tijd uit-gechecked uit het Hotel en om 12:00 uur vertrokken naar het vliegveld.
Zoals ook na onze aankomst hadden we aanzienlijk wat last van file met de taxi-rit.
WP_20150509_006
Aangekomen op het Vliegveld verliep het in-checken vlot en was het nu afwachten.
Gisterenavond was er nog vertraging aangekondigd t.g.v. de weersomstandigheden.
Het weer was dusdanig ongedurig dat alle vliegtuigen allen aan de grond bleven.
Chicago wordt niet voor niets “Windy City” genoemd, het is daar regelmatig raak.
Ons vliegtuig vertrekt toch netjes op tijd en gaan we onderweg naar Nederland.
Branko en ik zitten naast elkaar en toevallig ook naast Bart waarmee we optrokken.
Nu 07:50 uur vliegen op meer dan 10Km hoogte, 970Km/h en buiten -55 graden.

De vlucht verloopt prima v.w.b. zowel het opstijgen alsook nu gelukkig het landen

Branko en ik waren deze week samen in de USA voor Microsoft’s 1e Ignite 2015.
In Chicago hebben we samen met 23.000 anderen de conferentie bijgewoond.
WP_20150506_006
Samen hebben we maar liefst een 50-tal sessies gevolgd; weer veel van geleerd.
Zoals we gisteren in onze verslag al lieten weten was het een zeer leerzame week.
Tijdens de vlucht de laatste blog opgemaakt daar morgen het werk weer begint!!
Op Schiphol aangekomen konden we snel door de Douane naar onze Bagage toe.
We laten ons ophalen om af te zetten bij de parkeerplaats waar de auto staat.
Toen op weg van Schiphol naar Datamex te Breda om Branko daar af te zetten.

Toen naar huis vertrokken om na 8 dagen weer lekker thuis te zijn bij mijn gezin.

Na vele uur op de been niet te laat naar bed want ik moet morgen vroeg weer op.
We zijn blij de gelegenheid gekregen te hebben om Ignite te mogen bijwonen. 🙂
Namens Branko en mijzelf willen wij iedereen bedanken voor de spontane reacties.
En uiteraard de Support vanuit collega’s alsook het thuisfront i.v.m. de afwezigheid!
Conclusion_Ignite
Hiermee sluiten we v.w.b. ons reisverslag Ignite 2015 te Chicago af!

Business Trip Journal – Chicago (USA) – Dag 6 (9-5-2015)

Deze week in Chicago stond volledig in het teken van Microsoft Ignite 2015.
HET event waar je moest geweest zijn als je de laatste snufjes wil vernemen.

MS_Ignite1

In tegenstelling de jaren hieraan voorafgaand is het nu één event geworden.
Dat betekende maar liefst meer dan 1.000 Sessies en 23.000 deelnemers.
Microsoft had dit gearrangeerd bij McCormick in Chicago, het was groots!!

Branko en ikzelf zijn dit jaar de gelukkigen geweest er naar toe te mogen.
Aanvankelijk hadden wij 70 sessies uitgezocht maar bleken er 50 haalbaar.
Met 50 sessies is het dus een hele uitdaging om de juiste sessies te kiezen.

Desondanks zijn we hierin denk ik wel geslaagd, we focusten op:
– Microsoft Azure
– Windows 10 Pro / Enteprise;
– Security / Defender;
– Office 365 / Office 2016;
– Exchange 2016;
– Troubleshouting en
– Social Enterprising.

Van de respectievelijke 4 dagen zijn ook dag-verslagen opgemaakt, zie:
Dag 1: 4 mei 2015
Dag 2: 5 mei 2015
Dag 3: 6 mei 2015
Dag 4: 7 mei 2015
Dag 5: 8 mei 2015

De belangrijkste zaken welke onze deze week opvielen zijn:
– Microsoft zet volledig in op de ontwikkeling naar de Cloud
– Microsoft zet volledig is op eenvoud voor de gebruiker
– Microsoft zet volledig in op stabiliteit en veiligheid
– Microsoft zet in op één consistent platform voor Windows
– Windows 10 moet het beste van 8.1 en 7 samenbrengen
– Windows 10 moet het stabielste en veiligste OS worden
– Windows 10 moet het meest productieve OS ooit worden
– Microsoft Office 2016 ProPlus sluit daar helemaal op aan
– Microsoft Azure en Office 365 maken de Cloud bereikbaar
– Met Socials Enterprising, sneller inspelen op ontwikkelingen
– Met Socials Enterprising, haal het beste uit je medewerkers

Alle opgedane kennis zal komende weken overgedragen worden.
De respectievelijke Focusgroepen kunnen hiermee aan de slag.

WP_20150504_020_processed

Het was een week met een aanzienlijke belasting maar waard.
Er is weer genoeg info om onze klanten nog beter te bedienen.
Ons speelveld is wederom veel rijker geworden dan het al was.
Eigenlijk was 5 dagen te kort voor maar 50 van de 1.000 sessies.
Eigenlijk zouden we veel meer sessies hebben willen volgen.

WP_20150506_030

Maar goed, aan elk begin komt ook een einde en dag is vandaag.
Branko en ik zijn bevoorrecht dat we dit hebben mogen ervaren.
Net als Microsoft kan Datamex hierdoor ook weer stappen maken.

Business Trip Journal – Chicago (USA) – Dag 5 (8-5-2015)

Vanmorgen vroeg opgestaan om om 07:00 uur op de bus te gaan wachten.
Om 07:30 uur op McCormick aangekomen en gaan ontbijten met Branko.

WP_20150508_012

Vandaag, de dag na de Celebration Night, is al duidelijk met minder mensen.
Sommigen gaan nog wel met hun bagage de laatste 1, 2 of 3 sessies volgen.
Branko en ik hebben er ieder nog 3 staan welke dieper dan normaal gaan.
De laatste dag is echt voor de diehards zo verteld een Microsoft Speaker ons.

De eerste sessie luidt “Become a Yammer Power User in 75 minutes”.
Use cases for yammer are: Visibility
– Group wise messaging
– Follow the big news
– Share in right groups
– Join Groups to Follow
– Spend 20min/wk. to Read
Use cases for yammer are: Leaders
– Create a Leaders Group
– Encourage others to Post
AD works together with Yammer.
Use tooling tot analyse the network.
You need a social media manaager.
It’s NOT a push but a PULL mechanism.
Start to engage people to get involved!

De tweede sessie luidt: “The Microsoft Enterprise Social Journey”.
Microsoft kent 27.000 mensen die dagelijks Yammer actief gebruiken.
Training and Success Stories voor veel scenario’s is een enabler.
Zoals ook zaken als:
– Community Management: analyseer de ontwikkelingen
– Executive Sponsorship: ondersteuning vanuit management
– Communication Plan: werk uit hoe je wil communiceren
– What is the exact Goal: vaststellen wat je wil bereiken
Men gebruikt TyGraph om dit allemaal begrijpelijk weer te geven.
Power BI begint hier langzaam een belangrijkere rol in te krijgen.
Walking around on the floor kan ook binnen de groups virtueel.
How do we define engagement: this is depending on the context.
This can be different per group(s) and/or networks in Yammer.
Formatting zal binnen Yammer vrijwel geen focus gaan krijgen.
Power Pivot kennis kan nuttig zijn bij de analyse van het gebruik.
Tip/Hint:  Make a Group to put all the corporate negative issues in.
Tip/Hint:  Make a Group light-bulb to enable items to make better.
Tip/Himt: Not talking about the tools itself but about how to use it!

Office Lens_20150508_110938_processed

De derde en laatste sessie die dag luidt: “Become a Productivity Ninja”.
Hierin is uiteengezet op welke wijze je deze tools tezamen kan gebruiken.
Hierin heeft iedereen zijn eigen stijl en behoefte o.b.v. wat men nodig heeft.
Iemand die veel reist gebruikt dezelfde tools maar op een andere manier.
Een desk-worker gebruikt het weer anders dan een manager of coach, etc.

Office Lens_20150508_105105_processed

Branko is de dag begonnen met een sessie over het analyzen van Windows geheugen dumps, er waren diverse demonstraties door een forensisch specialist op dit gebied.
Er werd uitgelegd hoe je dit kunt gebruiken voor troubleshooting en hoe je dit kunt toepassen om inzicht te krijgen hoe het Windows OS of bepaalde s/w oplossingen werken.

ignite

Als laatste sessie heeft Branko een sessie bijgewoond die het vervolg was op de Sysinternals sessie van gisteren. Nu werd de sessie gehouden door Aaron Margosis, co-author samen met Mark Russinovich van het boek Sysinternals Administrator Reference. Tijdens de sessie werd dieper ingegaan op de verschillende tooling die de Sysinternals Suite bevat en hoe deze gebruikt kunnen worden in dagelijkse situaties.

Ook de 5e (laatste) dag van Ignite 2015 heeft ons weer veel goeds gebracht.
Vanmiddag nog even de nabije omgeving verkennen en iets kopen uiteraard.
Morgenvroeg eerst ontbijten en de voorbereidingen voor de terugreis treffen.
Vroeg naar het vliegveld want er vertrekken vandaag/morgen 40K+ mensen.

Morgen laten we wat van ons horen t.a.v. een algehele indruk van #MSIgnite. 🙂