Verklein risico’s ransomware-aanval door het nemen van onderstaande maatregelen
De afgelopen weken zijn er opnieuw heel wat meldingen geweest van incidenten met versleutelingsmalware. Afhankelijk van wie je het vraagt, worden dergelijke incidenten niet noodzakelijkerwijs geclassificeerd als data-inbreuken, omdat er meestal geen gegevens van je netwerk gehaald worden. Maar zonder de juiste back-ups kan het gegevensverlies zeer reëel zijn. Het ransomware-aanval risico is dus opnieuw vrij actueel.
Mogelijke maatregelen om ransomware-aanval risico te verminderen:
1. Gebruik GPO
Gebruik Group Policy Object (GPO) om uitvoerbare bestanden te blokkeren en Microsoft Office-macro’s uit te schakelen. Malware wordt meestal uitgevoerd vanuit de tijdelijke bestanden van Windows en via App Data directories. Door het blokkeren van de uitvoering van bestanden op deze locaties, kun je het risico van onbekende codes op de eindpuntsystemen verminderen. Dit is een goede manier om verschillende Windowsgebaseerde infecties te voorkomen. De nieuwste versies van encryptie ransomware maken gebruik van macro’s die verborgen zijn in Microsoft Officedocumenten. De “Office Administrative Template” bestanden in de Office versie geven gebruikers de mogelijkheid om het gebruik van dergelijke macro’s te beperken via Windows Group Policy Objects.
2. Patch applicaties van derden zo snel mogelijk
Vaak kan worden vastgesteld dat populaire toepassingen worden misbruikt om malware te verspreiden. Ze gebruiken Java, Adobe Reader, Adobe Flash en Adobe Shockwave. Door het up-to-date houden van deze desktopapplicaties verkleint het ransomware-aanval risico. Oudere versies en vooral toepassingen die overbodig geworden zijn, moeten worden verwijderd. Dit vermindert het aantal kwetsbare toepassingen die zich nog ergens in het systeem of netwerk bevinden.
3. Test en evalueer data back-up processen
De nieuwste varianten van encryptie ransomware verwijderen Windows systeemherstelpunten en schaduwkopieën die vaak worden gebruikt om gekaapte gegevens te herstellen. Bedrijven en overheidsinstellingen hebben geen andere keuze dan goede back-upstrategieën te ontwikkelen die hen in staat stellen hun gegevens te herstellen zonder losgeld te betalen aan de aanvaller. Extra back-ups op aparte systemen blijken in veel ransomware-situaties een troef te zijn. Bij het herstellen van gegevens is het belangrijk om ervoor te zorgen dat alleen de voor de organisatie relevante bestanden worden hersteld, niet de code van de ransomware of andere malware.
4. Verwijderen van lokale beheerdersrechten
Een aanvaller die in het bezit is van toegangsgegevens van de beheerder kan verwoestende schade aanrichten aan een gecompromitteerd systeem. Het verwijderen van lokale beheerdersrechten vermindert het risico dat de malware gebruik maakt van persistentiemechanismen of zich lateraal verplaatst binnen zijn omgeving.
5. Verklein risico’s ransomware-aanval door het blokkeren van e-mailbijlagen
In enkele recente voorbeelden zijn bestanden met de “.doc”-extensie en ActiveMime-headers gebruikt om blokkering op basis van handtekeningen te omzeilen. Het is zinvol om blokkeringsregels op basis van handtekening en extensie in te voeren voor e-mailbijlagen. Dit vermindert ook het risico op het klikken en openen van bijlagen.
Met deze vijf tips hoop ik dat je gespaard blijft van een vervelende aanval met ransomware.