17 mei 2017

Ransomware WannaCry

BlogRansomware WannaCry

Afgelopen vrijdag 12 mei was daar ineens de ransomware WannaCry. In korte tijd werden ruim 200.000 computers in 150 landen besmet met malafide software. 

Vragen die wij vaak krijgen:

Wat doet WannaCry?

De software gijzelt de computers door bestanden te versleutelen met een onbekende encryptiesleutel. Gebruikers krijgen alleen weer toegang tot hun bestanden na het betalen van een geldsom dat betaald moet worden in bitcoins.

Wat betekent dit voor mijn organisatie? Loop ik risico?
WannaCry maakt gebruik van een kwetsbaarheid in Windows die in maart al door Microsoft is gedicht. Ondanks dat de kwetsbaarheid al is verholpen, wist WannaCry alsnog duizenden computers te infecteren omdat deze systemen waarschijnlijk op verouderde versies van Windows draaiden of nog niet waren voorzien van de nieuwste updates.

Hoe voorkom ik schade nú en in de toekomst?
Zoals het er nu naar uitziet is de verdere verspreiding van WannaCry voorlopig gestopt door een beveiligingsonderzoeker die de ransomware per toeval een halt toe riep.

Wortell helpt klanten bij het voorkomen van Ransomware uitbraken door te informeren over de Office ATP functie. 99% van de ransomware uitbraken worden veroorzaakt doordat medewerkers e-mails met bijlage openen zonder te kijken of ze de afzender vertrouwen. Met Office ATP worden alle links en bijlages in e-mails in de Microsoft Cloud ge-sandboxed uitgevoerd. Hierdoor kan Microsoft van te voren een risico profiel bepalen waardoor de kans op ransomware aanzienlijk verkleind.

Organisaties die gebruik maken van Office 365 SharePoint en/of OneDrive (zonder UNC paden) verlagen het risico op grote uitbraken omdat het vaak beperkt blijft tot een enkele werkplek. Als een geïnfecteerd bestand alsnog in de online Cloud opslag komt kunnen versies eenvoudig worden terug gezet.

Hieronder op een rij hoe risico's te beperken: 

  1. Wees extra alert op verdachte bestanden die bijvoorbeeld per e-mail worden verstuurd.
  2. De meest recente beveiligingsupdates die Microsoft voor haar besturingssysteem Windows heeft uitgebracht (op 14 maart) moeten zijn doorgevoerd ter bescherming tegen ransomware. Als gebruikers automatische beveiligingsupdates hebben ingeschakeld zou het al moeten zijn doorgevoerd. Het gaat om update MS17-010 voor:
    1. Windows Vista,
    2. Windows 7
    3. Windows 8.1
    4. Windows 10. 

Microsoft besloot vanwege de ernst van de cyberaanval ook het niet langer ondersteunde Windows XP en Windows 8 van een speciale update te voorzien om de kwetsbaarheid te verhelpen. Daarnaast heeft het bedrijf de beveiligingssoftware van Windows bijgewerkt om de nieuwe vorm van ransomware te identificeren en gebruikers te beschermen.

Het Nationaal Cyber Security Centrum heeft Nederlandse instanties, zoals ziekenhuizen en gas-, water- en lichtleveranciers geadviseerd om extra alert te zijn op verdachte bestanden die bijvoorbeeld per e-mail worden verstuurd.

Wat voor schade heeft WannaCry aangericht in Nederland?
In Nederland is de schade beperkt en voor zover bekend werd alleen parkeerbedrijf Q-Park getroffen door de aanval.

Wortell Security Helpdesk

“Hoe kan ik mijzelf beschermen tegen dergelijke uitbraken?

In 9 van de 10 gevallen dringt ransomware een omgeving binnen door zichzelf te verstoppen in een e-mailbijlage. Eén geïnfecteerd mailtje klakkeloos openen is genoeg om de uitbraak te starten. Maak je gebruik van Office 365? Dan biedt Exchange Online Advanced Threat Protection (ATP) extra bescherming tegen dit soort praktijken. Bijlages worden daarmee uitgebreid getest op verdacht gedrag, alvorens de mail wordt afgeleverd bij de ontvanger. Ditzelfde wordt ook gedaan voor alle linkjes in een mail: op die manier wordt het (vanuit mail) openen van verdachte websites een halt toegeroepen.

Gebruik je OneDrive for Business? Iedere keer dat je daarin een document opslaat, wordt deze als nieuwe versie bewaard. Mochten die bestanden ooit door ransomware worden versleuteld, dan kun je dit eenvoudig zelf herstellen door een vorige versie van het document terug te zetten. Bestandsbibliotheken in SharePoint Online kunnen eveneens van dit versiebeheer worden voorzien.

Voorkomen is natuurlijk beter dan genezen. Meer weten over hoe je jouw medewerkers bewuster maakt van veiligere werkwijzen? Onze specialisten staan klaar om deze vragen te beantwoorden. Ze zijn bereikbaar via 020-7505000.

Webinar over nieuwe Europese wetgeving rondom datalekken
Op het moment dat ransomware jouw data steelt weet je niet wat er met je data gebeurt. Wil je meer weten over dit onderwerp en over de de nieuwe Europese wetgeving rond datalekken? Kijk dan het webinar terug over: General Data Protection Regulation met Danny Burlage en Martin Kras.

New Call-to-action

Verder lezen