Newsroom

Het uitbannen van ransomware-aanvallen is een utopie

Hoe kun je je bedrijf eigenlijk nog beschermen tegen ransomware? Armand Moeliker, ICT Architect gespecialiseerd in security legt een en ander uit.

Meer weten? Neem contact op met Armand

Armand Moeliker, ICT architect
088 44 60 000
LinkedIn

Geen geld innen, maar zoveel mogelijk schade veroorzaken; dat was het doel van de virus-aanval die dinsdag plaatsvond. Het zogenaamde Petya-virus was vermomd als ransomware en gijzelde binnen afzienbare tijd wereldwijd grote bedrijven. Wat kun je als bedrijf doen om jezelf te wapenen tegen deze aanvallen? Volgens Armand Moeliker, ICT Architect bij Detron, is het uitbannen van dit soort aanvallen een utopie en moeten we leren van eerder gemaakte fouten. "Een softwareleverancier is niet per definitie een expert in beveiliging", benadrukt Moeliker.

In welke orde van grootte moeten we deze uitbraak zien ten opzichte van WannaCry-uitbraak van vorige maand?

Moeliker: "WannaCry versleutelde bestanden, waardoor een bedrijf met de restore van een data-back-up relatief snel weer operationeel was. Petya beschadigt het volledige Windows-systeem, waardoor herstel vanuit een data-back-up niet voldoende is. Dit virus heeft veel meer impact op de bedrijfsvoering van de organisaties die zijn getroffen. De containerterminal in Rotterdam is op dit moment nog steeds niet volledig operationeel."

Hoe werkt deze variant?

Moeliker: "Petya maakt gebruik van een bekend beveiligingslek in Microsoft Windows (Eternalblue) om zichzelf toegang te verschaffen tot een systeem waarna, met behulp van standaard management-tooling (WMIC en PsExec) andere systemen binnen een lokaal netwerk worden besmet. Na besmetting zal de computer automatisch na een uur herstarten, waarna de encryptie wordt aangebracht."

Wat is het bijzondere van deze uitbraak?

Moeliker: "WannaCry was vooral gericht op het innen van zoveel mogelijk geld. Deze variant is gebaseerd op het veroorzaken van schade. Dat vermoeden onderzoekers omdat er slechts één Bitcoin-adres werd gebruikt en omdat de communicatie over het betalen moest verlopen via één mailadres, maar dat is niet meer mogelijk omdat het opgegeven adres is stopgezet door de provider. De malware is dus vermomd als ransomware, maar is het eigenlijk niet."

Waarom kan deze uitbraak zo snel weer veel slachtoffers maken?

Moeliker: "Klaarblijkelijk hebben veel ondernemingen de waarschuwingen van beveiligingsexperts en hun ICT-dienstverleners in de wind geslagen. Dat komt waarschijnlijk doordat WannaCry snel werd gestopt door de toevallige vondst van de 'killswitch'. Hierdoor hebben veel ondernemingen de werkzaamheden voor patching (opnieuw) uitgesteld. Immers, patching heeft impact op de beschikbaarheid van informatiesystemen en het onderhoudsmoment wordt door veel ondernemingen te krap bemeten. In de 24-uurs economie wil men uiteraard ook een volledige 24x7-dienstverlening."

Wat is de rol van softwareleveranciers bij deze uitbraak?

Moeliker: "Petya verspreidde zich initieel via een 'vertrouwd' updatemechanisme van een softwareleverancier. Dit stelt direct een ander probleem aan de kaak: we hebben veel te veel vertrouwen in de kundigheid van softwareleveranciers als het gaat om beveiliging. We moeten ons realiseren dat een softwareontwikkelaar niet per definitie een expert is in het beveiligen van alle facetten van zijn distributiesystemen."

Vaak maken de virussen gebruik van lekken in verouderde versies van besturingssystemen. Wat moeten bedrijven doen die deze oudere versies nog steeds laten draaien?

Moeliker: "Vanuit technisch oogpunt moeten deze systemen in afgeschermde netwerken geplaatst worden en is het belangrijk de toegang zoveel mogelijk te beperken. Vanuit functioneel oogpunt is het noodzakelijk om meer bewustwording te creëren onder de gebruikers. Beveiligingsmaatregelen lijken allemaal lastig en belemmerend te zijn, maar de verspreiding van dit soort uitbraken beginnen allemaal met het basisprincipe: 'De mens is de zwakste schakel'."

Wat zijn de stappen die bedrijven nu moeten nemen om de beveiliging te verhogen?

Moeliker: "Ook in een 24-uurs-economie blijft het onderhoud van je Windows-omgeving uitermate belangrijk. Neem patching daarom uitermate serieus. Datzelfde geldt ook voor de back-up, want die maak je immers niet voor niets. Laat je adviseren door je ICT-dienstverlener om de impact van downtime bij patching te minimaliseren. Bewustwording bij gebruikers creëren blijft met stip op nummer twee staan. Ook zijn duidelijke afspraken met softwareleveranciers nodig over de veiligheid van hun update-mechanismes. De cloud werkt eenvoudig, maar is ook kwetsbaar. Encryptie en hashing zijn technieken waar we hier echt niet meer zonder kunnen."

Wanneer zijn er voldoende maatregelen getroffen?

Moeliker: "Je kunt nooit 100 procent garanderen dat een informatiesystemen niet wordt getroffen door dit soort bedreigingen. Je kunt daarentegen de kans op schades wel zoveel mogelijk beperken. Dat kan door vaak te patchen, door meerdere keren per dag een back-up te maken en door te investeren in middelen waarmee dergelijke bedreigingen in een vroegtijdig stadium worden gedetecteerd, zodat de impact zo klein mogelijk blijft. Daarnaast is het noodzakelijk om samen met medewerkers een informatiebeveiligings-etiquette samen te stellen, waarin wordt vastgelegd hoe medewerkers geacht worden om te gaan met bedrijfsmiddelen en –data."

Bestaat er hoop dat er ooit een einde komt aan dit soort aanvallen, bijvoorbeeld door het uitfaseren van verouderde besturingssystemen?

Moeliker: "Zolang we software blijven ontwikkelen, blijven beveiligingslekken bestaan. Daarbij is de mens nog steeds feilbaar en gevoelig voor verleiding. Deze twee aspecten blijven nu en in de toekomst bijdragen aan nieuwe aanvallen. Veroudering van besturingssystemen heeft hier niet zoveel impact op, tenzij de mens eens gaat leren van hun fouten. Het uitbannen van dit soort aanvallen is echt een utopie."