Weer een Ransomware uitbraak…

wannamore-ransomware-screenshot

Op 27 juni 2017 was het helaas weer zover, een opvolger van het WannaCry Virus ging wereldwijd live en lijkt minstens een even zo grote impact te (gaan) hebben als kortgeleden WannaCry had. Binnen een heel korte tijd zijn dan ook meerdere grote bedrijven het slachtoffer geworden van deze uitbraak. Hoewel het zich voor nu grotendeels nog buiten Nederland afspeelt, zijn er dus al wel enkele Nederlandse bedrijven serieus door getroffen en helaas heeft het er alle schijn van dat het aantal getroffen bedrijven nog op zal lopen.

Het is nog niet geheel duidelijk wat deze nieuwe Ransomware behelst. Sommigen denken een variant op Petya of WannaCry, de laatste denkwijze is echter onjuist volgens Kaspersky Lab maar wat het dan wel precies is, wordt op dit moment nog nader onderzocht.

De afgelopen periode is duidelijk zichtbaar dat er bij een aanval meerdere invalshoeken gekozen worden, dit zodat het al niet stuk loopt op een eerste poging, Hierbij wordt gebruik gemaakt van de zogenaamde EthernalBlue welke ook weer gemodificeerd lijkt te zijn, wat voornamelijk geënt is om zakelijke netwerken te infecteren.

De wijze van besmetting is veelal identiek gebleven, want de gebruiker is daarin nog steeds de belangrijkste factor en wel met betrekking tot het openen van bijlagen. Opvallend is wel dat er geluiden de ronde gaan dat dit nu niet alleen ZIP- en/of PDF-bestanden. Echter, ook Office-documenten zoals Word, Excel en PowerPoint.

Ook hier wordt wederom gebruik gemaakt van reeds bekende exploits (zwakheden), welke veelal toch simpel voorkomen kunnen worden:

  • Zorg dat je up-to-date bent met antivirus/-spyware/-malware.
  • Ben up-to-date met betrekking tot alle Windows Updates/Patches.
  • Open niet zomaar websitekoppelingen zonder deze te verifiëren.
  • Open niet zomaar iedere bijlage en check altijd de afzender.
  • Pas op met voorbeeldweergave in Microsoft Outlook nu in combinatie met Office-bestanden; hierdoor is de kans op infectie nu aanzienlijk groter geworden omdat het bestand direct geopend kan worden binnen het leesvenster; als het onderwerp van het bericht niet bekend/vertrouwd voorkomt, is het verwijderen (deleten) van het bericht meestal de beste optie.

Zie ter aanvulling op dit artikel ook het eerder verschenen artikel “Don’t WannaCry“.

Don’t WannaCry?

Aandachtspunten na wereldwijde cyberaanval

Acties_auto_auto_c640_c440_q_Wannacry

Afgelopen weekend bereikte, volgens Europol, een cyberaanval met de ransomware worm WannaCry/WannaCrypt wereldwijd minstens 200.000 systemen. Hierbij wat begrijpelijke tekst en uitleg alsook aandachtspunten.

WannaCry is ransomware die een (inmiddels in maart 2017 gepatchte) lek in Microsoft Windows gebruikt om zich te verspreiden via interne netwerken. Wanneer een systeem is gïnfecteert, scant deze het interne netwerk om andere systemen aan te steken. De hiervoor gebruikte exploit, genaamd Eternalblue SMB, heeft betrekking op op alle versies van Windows die nog niet gepatcht zijn met de update MS17-010, die Microsoft op 14 maart jl. uitbracht. Windows 10 en Windows Server 2016 zijn hier wel standaard tegen beschermd. Microsoft adviseert gebruikers van oudere versies van Windows om zo snel mogelijk hun systeem te updaten. Het bedrijf heeft een onder andere een patch uitgebracht voor Windows onder vermelding van MS17-010 welke deze exploit moet dichten.

Specialisten op dit gebied raden gebruikers en beheerders aan om het SMBv1 protocol uit te zetten en SMB connecties van het internet (lees: rechtstreekse toegang tot bestanden over het Internet) te blokkeren. Haal bij voorkeur de systemen die niet geüpdate zijn van het Internet alsook van het interne netwerk. En uiteraard is het waarborgen van goede back-ups van de belangrijke gegevens een pure noodzaak! Het is en blijft van groot belang je bij ieder ontvangen E-mail bericht af te blijven vragen of dat bericht te vertrouwen is. De gevaarlijke mails worden steeds moeilijker van normale mails te onderscheiden en dus nemen de risico’s daarmee evenredig toe. Alertheid en bewustwording hieromtrent blijft absoluut geboden.

Gelukkig is er in deze worm een fout geslopen bij het maken ervan. Hierdoor is de slagkracht van deze worm minder optimaal dan dat de makers ervan aanvankelijk bedoeld hadden. Onderzoekers van Kaspersky Lab hebben inmiddels een zogenaamde ‘gemuteerde’ vorm van het virus gevonden, welke naar verluidt niet deze fout bevat en zich dus nog moeilijker zal laten afstoppen bij de bestrijding ervan.

En nu?

  • Zorg dat alle systemen up-to-date zijn.
  • Klik nog steeds niet op Internet-linkjes die je niet vertrouwen kunt c.q. niet kent en/of verwacht.
  • Zorg dat de backup dagelijks mee extern gaat en niet onnodig aan het netwerk hangt.
  • Scan en screen preventief (gebruik een up-to-date anti-virus product).
  • Beperk het gebruik van (voornamelijk gratis) WiFi waarvan je de mate van beveiliging niet kent.
  • Beperk toegang van buitenaf over VPN (waardoor systemen onderdeel uit komen te maken van het interne netwerk).
  • Sluit rechtstreekse toegang via SMB over het Internet naar bestanden/mappen af en zoek naar alternatieven.

Het pijnlijke van het uitbreken van deze worm is dat dit voorkomen had kunnen worden als eerder aan het licht gekomen was dat de Amerikaanse overheid deze exploit misbruikte voor ongevraagde toegang tot systemen. Microsoft President and Chief Legal Officer van Microsoft Brad Smith spreekt zich in zijn blog dan ook uit over de noodzaak van dringend collectief actie om mensen veilig online te houden!

Ransomware is ‘booming business’…

Er is door Kaspersky onderzoek gedaan naar Ransomware, lees hier het rapport.

Gebleken is dat er tussen april 2015 en maart 2016, meer dan 2,3 miljoen mensen met ransomware in aanraking gekomen zijn, maar liefst een toename van 18% ten opzichte van het jaar ervoor.

Meegerekend is de malware die alleen blokkeert en de data niet versleuteld. De zogenoemde ‘cryptors’ die wel de data versleutelen zijn daarbij enorm toegenomen. Deze maken nu 32% van alle ransomware-aanvallen uit, dit was in 2015 nog slechts 7%.

Tussen de 5,5 en 6 keer zoveel mensen (zowel zakelijk als privé) kregen met dergelijke aanvallen te maken. De zakelijke aantallen voeren daarbij wel de boventoon en daarom ook meent Kaspersky dat criminelen het doelbewust op de zakelijke gebruikers voorzien hebben voornamelijk met de cryptors. Deze worden veelal toegepast in zakelijke documenten als facturen en sollicitaties.

Er lijkt ook vaker betaald te worden voor deze afpersingspraktijken daar ook opgevallen is dat de prijzen hiervoor omhoog gegaan zijn.

De tendens is helaas nog steeds stijgend en het advies is absoluut nooit te betalen, de software up-to-date te houden, de backup goed geregeld te hebben, te werken met preventieve beveiliging en de gebruikers afdoende te trainen om dergelijke vormen van aanvallen vroegtijdig te onderkennen.

computer_virus_cartoon_image

Zo maakt u cryptolockers kansloos…

Cryptolockers verspreiden zich als een olievlek door bedrijfsnetwerken. Corrupte bestanden kunnen uw organisatie zelfs de kop kosten. Hoe wapent u zich tegen deze cybercriminaliteit?nieuws_auto_auto_c660_c440_q95_shutterstock_180028340-cloud-sec-newBijna failliet door cryptolocker

Laatst belde een klant die bijna zijn faillissement kon aanvragen na een besmetting. De locker had zich een weg gebaand door alle bedrijfskritische informatie en bereikte de back-up. Gevolg: de data van een compleet boekjaar weg. Gelukkig vond hij een kopie van een jaar oud en kon zijn bedrijf nog net worden gered. Dit is helaas niet het enige spookverhaal. Per week hangen zeker twee tot drie klanten aan de lijn die te maken krijgen met cryptolockers. Ze zijn op dit moment in de mode. Cybercriminelen verdienen er bakken met geld mee. Een beetje geslaagd ‘project’ levert zo’n 300 miljoen dollar op.

Alert op verdachte e-mails

Honderd procent garanties geven kan natuurlijk nooit. Maar er is een strategie om het risico tot een minimum te beperken. Dat begint bij bewustwording. Zo’n tachtig tot negentig procent van de cryptolockers dringt via e-mail binnen. Vaak gaat het om schimmige spookmails uit naam van bijvoorbeeld een creditcardmaatschappij of pakketdienst. Of u even een iets wilt controleren via een meegestuurde link. En ja, dan happen de meesten natuurlijk. Zonder dat u er erg in heeft, activeert u de cryptolocker. Stel uzelf altijd de vraag: is het aannemelijk dat de inhoud van deze mail klopt? Bij twijfel: nooit links in de e-mail openen, raadpleeg een collega of bel uw IT-dienstverlener voor advies!

Back-up in de cloud

Naast trainingen in bewustwording adviseren ik om dagelijks – of soms meerdere keren per dag – back-ups in de cloud te maken van de meest bedrijfskritische informatie. Maak ook van minder gevoelige data elke dag een back-up die fysiek gescheiden blijft van het netwerk. De verhalen dat namelijk ook de kopie besmet raakte, zijn helaas bij mij bekend. Ik raad verder aan om regelmatig de complete netwerkwerkomgeving te back-up’en. Ook nu geldt: gescheiden van het netwerk bewaren. De securitybedrijven zitten natuurlijk ook niet stil. We implementeren wekelijks software die het gedrag van cryptolockers herkent en signaleert. Maar wie is wie een stap voor? Dat blijft een spel tussen cybercrimineel en software-ontwikkelaar.

Referentie: Security Oplossingen en Datamex Blog

 

Business Trip Journal – Chicago (USA) – Dag 7 (10-5-2015)

Vanmorgen vroeg opgestaan om te starten met achterstallige E-mail af te werken.
Op tijd uit-gechecked uit het Hotel en om 12:00 uur vertrokken naar het vliegveld.
Zoals ook na onze aankomst hadden we aanzienlijk wat last van file met de taxi-rit.
WP_20150509_006
Aangekomen op het Vliegveld verliep het in-checken vlot en was het nu afwachten.
Gisterenavond was er nog vertraging aangekondigd t.g.v. de weersomstandigheden.
Het weer was dusdanig ongedurig dat alle vliegtuigen allen aan de grond bleven.
Chicago wordt niet voor niets “Windy City” genoemd, het is daar regelmatig raak.
Ons vliegtuig vertrekt toch netjes op tijd en gaan we onderweg naar Nederland.
Branko en ik zitten naast elkaar en toevallig ook naast Bart waarmee we optrokken.
Nu 07:50 uur vliegen op meer dan 10Km hoogte, 970Km/h en buiten -55 graden.

De vlucht verloopt prima v.w.b. zowel het opstijgen alsook nu gelukkig het landen

Branko en ik waren deze week samen in de USA voor Microsoft’s 1e Ignite 2015.
In Chicago hebben we samen met 23.000 anderen de conferentie bijgewoond.
WP_20150506_006
Samen hebben we maar liefst een 50-tal sessies gevolgd; weer veel van geleerd.
Zoals we gisteren in onze verslag al lieten weten was het een zeer leerzame week.
Tijdens de vlucht de laatste blog opgemaakt daar morgen het werk weer begint!!
Op Schiphol aangekomen konden we snel door de Douane naar onze Bagage toe.
We laten ons ophalen om af te zetten bij de parkeerplaats waar de auto staat.
Toen op weg van Schiphol naar Datamex te Breda om Branko daar af te zetten.

Toen naar huis vertrokken om na 8 dagen weer lekker thuis te zijn bij mijn gezin.

Na vele uur op de been niet te laat naar bed want ik moet morgen vroeg weer op.
We zijn blij de gelegenheid gekregen te hebben om Ignite te mogen bijwonen. 🙂
Namens Branko en mijzelf willen wij iedereen bedanken voor de spontane reacties.
En uiteraard de Support vanuit collega’s alsook het thuisfront i.v.m. de afwezigheid!
Conclusion_Ignite
Hiermee sluiten we v.w.b. ons reisverslag Ignite 2015 te Chicago af!

Business Trip Journal – Chicago (USA) – Dag 6 (9-5-2015)

Deze week in Chicago stond volledig in het teken van Microsoft Ignite 2015.
HET event waar je moest geweest zijn als je de laatste snufjes wil vernemen.

MS_Ignite1

In tegenstelling de jaren hieraan voorafgaand is het nu één event geworden.
Dat betekende maar liefst meer dan 1.000 Sessies en 23.000 deelnemers.
Microsoft had dit gearrangeerd bij McCormick in Chicago, het was groots!!

Branko en ikzelf zijn dit jaar de gelukkigen geweest er naar toe te mogen.
Aanvankelijk hadden wij 70 sessies uitgezocht maar bleken er 50 haalbaar.
Met 50 sessies is het dus een hele uitdaging om de juiste sessies te kiezen.

Desondanks zijn we hierin denk ik wel geslaagd, we focusten op:
– Microsoft Azure
– Windows 10 Pro / Enteprise;
– Security / Defender;
– Office 365 / Office 2016;
– Exchange 2016;
– Troubleshouting en
– Social Enterprising.

Van de respectievelijke 4 dagen zijn ook dag-verslagen opgemaakt, zie:
Dag 1: 4 mei 2015
Dag 2: 5 mei 2015
Dag 3: 6 mei 2015
Dag 4: 7 mei 2015
Dag 5: 8 mei 2015

De belangrijkste zaken welke onze deze week opvielen zijn:
– Microsoft zet volledig in op de ontwikkeling naar de Cloud
– Microsoft zet volledig is op eenvoud voor de gebruiker
– Microsoft zet volledig in op stabiliteit en veiligheid
– Microsoft zet in op één consistent platform voor Windows
– Windows 10 moet het beste van 8.1 en 7 samenbrengen
– Windows 10 moet het stabielste en veiligste OS worden
– Windows 10 moet het meest productieve OS ooit worden
– Microsoft Office 2016 ProPlus sluit daar helemaal op aan
– Microsoft Azure en Office 365 maken de Cloud bereikbaar
– Met Socials Enterprising, sneller inspelen op ontwikkelingen
– Met Socials Enterprising, haal het beste uit je medewerkers

Alle opgedane kennis zal komende weken overgedragen worden.
De respectievelijke Focusgroepen kunnen hiermee aan de slag.

WP_20150504_020_processed

Het was een week met een aanzienlijke belasting maar waard.
Er is weer genoeg info om onze klanten nog beter te bedienen.
Ons speelveld is wederom veel rijker geworden dan het al was.
Eigenlijk was 5 dagen te kort voor maar 50 van de 1.000 sessies.
Eigenlijk zouden we veel meer sessies hebben willen volgen.

WP_20150506_030

Maar goed, aan elk begin komt ook een einde en dag is vandaag.
Branko en ik zijn bevoorrecht dat we dit hebben mogen ervaren.
Net als Microsoft kan Datamex hierdoor ook weer stappen maken.