Ransomware, traagheid is dodelijk!
Alweer een groot bedrijf, instelling, stad of gemeente getroffen door een cyberaanval. We schrikken niet meer van de berichtgeving en staan er nog nauwelijks bij stil.
Wel vindt iedereen dat de (eventueel) betaalde losgelden altijd gigantisch zijn en dat het onverantwoord is om ze te betalen, want het promoot het verdienmodel aan en houdt dit soort criminaliteit zelfs in stand!
Het samengevatte verhaal van Universiteit Maastricht
Hetgeen zich bij Universiteit Maastricht heeft afgespeeld eind 2019 is op zich niet erg verschillend van alle andere ransomware cyberaanvallen. Wat wél opmerkelijk is, is de openheid van communiceren over het hele voorval en de nuance in het debat. Een opsteker!
Key facts
Meer dan 1.600 servers, ruim 7.300 werkstations met meer dan 100.000 updates per jaar!
Net die ene kwetsbaarheid “EthernalBlue”, die ook al als transportmiddel diende voor de wereldwijde WannaCry uitbraak, werd in dit dossier misbruikt.
De aanval startte medio oktober met enkele gerichte e-mails. Aanvallers kregen via een laptop toegang tot één server. Van daaruit werd er “horizontaal” doorheen het netwerk bewogen totdat er een antivirus melding afging. Eén van de 3.000 antivirus meldingen per dag. De AV-software blokkeerde het besmette bestand of programma. De aanvallers hadden echter al volledige controle over de server zelf. AV-software werd uitgeschakeld en de aanval werd hervat of herhaald. Ditmaal zonder dat er een AV-melding afging.
Door enkele kleine nalatigheden (nu ja klein, groot, daarover kan je discussiëren) kon de aanvaller eind november, na 5 à 6 weken “onopgemerkt” zijn of haar ding te doen. Een administrator account met hoge privileges compromitteren. Op dat moment ben je als organisatie er dus aan voor de moeite…
Eind december werd dan ten slotte de doodsteek toegediend. Vitale servers voor de werking van de Universiteit werden versleuteld.
Conclusie
Als het niet installeren van één op 100.000 updates dit allemaal tot gevolg kan hebben, wat is er dan eigenlijk aan de hand? We veronderstellen dat we ons kunnen behoeden voor dit kwaad door “een doosje” te kopen. Een doosje software of een metalen doosje waar enkele netwerkkabels in- en uit gaan.
Helaas
Het vertrekt vanuit een strategie. Schakel meerdere externe specialisten in. Ieder volgens zijn of haar vakgebied want in het land der blinden, is éénoog koning. Laat die verschillende specialisten samenwerken, elkaar uitdagen en in the end elkaar versterken. Wees kritisch, vraag rapportering, periodiek overleg en vooral, evolueer mee. Een methode die vandaag afdoende is, is dat volgend jaar waarschijnlijk lang niet meer.
Als we massaal geen losgeld meer gaan betalen (hoe aanlokkelijk het ook mag zijn om voor “maar 200K” ervan af te zijn) gaan er andere dingen gebeuren. Gaan je gegevens niet meer versleuteld worden maar worden ze “gewoon” op straat gegooid of aan je concurrent of andere belanghebbende verkocht.
Misdaad is creatief en vooral, misdaad past zich snel aan aan de omstandigheden. Als “trage” organisatie ben je eigenlijk (nu al) een vogel voor de kat.
De termen multidisciplinaire aanpak, gelaagde beveiliging, bewustmaking en training mogen geen holle begrippen zijn of worden. Evolueer mee, pas je (organisatie) aan, train en test, daag uit en wees kritisch. Betrek externe experts. Laat concullega’s samenwerken. Het sluit de bedreiging niet uit, neemt het risico niet weg maar het zorgt er wel voor dat jij en je partners alert blijven.
© 2015-2023 Allington | Privacyverklaring
