Petya en WannaCry: droog je tranen, maar blijf alert!
De kans op nieuwe cyberaanvallen zoals WannaCry lijkt sterk toe te nemen. Vorige week nog werden bedrijven wereldwijd opnieuw getroffen door een soortgelijke uitbraak: PetyaWrap of NotPetya. Ook analyse van OVH toont aan dat er verschillende nieuwe pogingen zijn gedaan om kwetsbare apparaten te infecteren. WannaCry is niet de eerste malware die misbruik maakt van een beveiligingslek in Windows-systemen en de kans dat een vergelijkbare aanval wordt gedaan op dergelijke kwetsbaarheden is duidelijk aanwezig. Zo blijkt ook (Not)Petya, gebruik te maken van dit kwetsbare punt. Nieuwe varianten van WannaCry worden snel gecreëerd en vormen een groot risico. Niet alleen voor werkplekken in bedrijven, die tijdens de eerste ransomware-aanval voornamelijk werden getroffen. Ook servers met verouderde versies van Microsoft Windows zijn nog steeds niet immuun. Hierdoor ontstaat de vraag: wat kan een host doen wanneer deze opnieuw te maken krijgt met een dergelijke aanval?
Het antwoord op deze vraag is niet makkelijk. Verantwoordelijkheid ligt namelijk hoofdzakelijk bij de gebruikers: alleen zij kunnen hun systeem up-to-date houden. Preventie is de enige manier om de bedreiging van malware-aanvallen volledig te voorkomen. IT-managers weten dit maar al te goed. Het is voor hen van essentieel belang de IT-infrastructuur te updaten. Tegelijkertijd moeten zij gebruikers voortdurend op de hoogte houden van veiligheidsrisico’s, zoals kwaadaardige emailbijlagen. Ten slotte is er nog een eenvoudige en effectieve manier om data te beschermen tegen ransomware-aanvallen: het maken van back-ups. Desalniettemin kan een host het risico op een WannaCry-infectie op kwetsbare servers beperken en de agressieve epidemie onder de duim houden. Alberto Wieske, Business Development Manager NL/BE bij OVH legt uit hoe.
Preventie
Allereerst is het belangrijk dat er inzicht is in waar eventueel zwakke plekken kunnen ontstaan. Zo blijkt dat WannaCry gebruik maakte van een beveiligingslek in TCP-poort 445, die gebruikt wordt om Windows-bestanden te delen (SMB Protocol). “TCP-poort 445 bleek jaren geleden al een verspreider van malware en daarom heeft OVH besloten dat het alleen in een privénetwerk beschikbaar mag zijn. Als gebruikers op afstand via deze poort willen communiceren, moeten zij dit via een VPN (Virtual Private Network) doen”, legt Wieske uit. Door de TCP-poort 445 te filteren, zijn de meeste netwerken immuun tegen infecties.
Beveiliging eigen IT-infrastructuur
Geen enkel bedrijf is ontastbaar en het is belangrijk dat organisaties dat ook beseffen. Zorg er als host voor dat de interne beveiliging in ieder geval optimaal is. Versterk apparatuur met de nieuwste patches en updates en installeer deze zodra ze beschikbaar zijn. Een strikt intern beleid waarbij regelmatig onderzoek wordt gedaan naar kwetsbaarheden, kan zeer zinvol zijn in het voorkomen van een nieuwe aanval. “Zo kwamen we er tijdens de WannaCry-aanval achter dat bepaalde netwerken niet de juiste beveiligingspatch van Microsoft bevatten. Dit terwijl we hebben ingesteld dat Microsoft-updates automatisch worden uitgevoerd”, zegt Wieske. Uit een analyse bleek dat de Windows Server 2008 direct bij opstarten werd blootgesteld aan het virus. Dit betekent dat het systeem al kan worden geïnfecteerd nog voordat het de tijd heeft gehad te updaten. Wanneer dit inzicht er is, kunnen er maatregelen worden genomen, zoals de ontwikkeling van een robot waarmee Windows-sjablonen automatisch worden geüpdatet en geïntegreerd in het systeem.
Toch besmet? Betaal niet.
Ben je toch slachtoffer geworden van een ransomware-aanval, betaal nooit. Betalen voedt criminele netwerken, wat hen het kapitaal geeft om nog krachtigere malware te ontwikkelen. Zelfs als de makers erom bekend staan dat ze data teruggeven na betaling, is het belangrijk dat je dit niet doet. Zo zaten er ook verschillende malafide hackers bij die de WannaCry-interface reproduceerden en verspreidden, waarbij ze losgeld eisten zonder dat ze überhaupt enige data versleuteld hadden.
Wanneer je apparaat is aangetast, dan is het verstandig om de nieuwste versie van Microsoft opnieuw te installeren en de door Microsoft geleverde beveiligingspatches toe te voegen om WannaCry of vergelijkbare aanvallen te bestrijden. Er zijn enkele tools vrijgegeven om te helpen je data te ontgrendelen. Daarnaast heeft Kaspersky Lab een platform gemaakt waarin verschillende soorten software worden weergegeven die je kunnen helpen om de data te herstellen.
Tijdens de eerste malware-aanval zijn er veel mensen geweest die meldden dat hun websites niet werkten. Indien dit gebeurt, dan is het verstandig om alle wachtwoorden te wijzigen. De bestanden kunnen door iedereen zijn gedownload, wat betekent dat ze bijvoorbeeld toegang kunnen krijgen tot je database. “Maar het allerbelangrijkste advies blijft: maak regelmatig back-ups van gevoelige data”, concludeert Wieske.
