Kwetsbaarheden bij datatransfer-software MOVEit hebben al geleid tot gekende hacks bij grote namen als British Airways en BBC. Er wordt nu gevreesd voor een ware afpersingsgolf nadat al heel wat data zijn buitgemaakt.
Experts in cybersecurity vrezen een golf aan mogelijke afpersingen na hacks bij grote namen als BBC en British Airways. Via kwetsbaarheden bij datatransfer-software MOVEit van Progress Software, zijn heel wat persoonlijke data gestolen.
Misdaad loont, soms
Eerder deze week waarschuwde de Amerikaanse overheidsdiensten voor cybersecurity nog voor de kwetsbaarheden bij MOVEit, maar het kwaad blijkt al veelvuldig geschied. Progress heeft inmiddels wel een patch gelanceerd en probeert de schade nu te beperken. Het bedrijf publiceerde ook het nodige advies.
Intussen meldden niet alleen de BBC en British Airways over datahacks, maar ook de Canadese provincie Nova Scotia. Volgens Microsoft zijn het dezelfde hackers die ook achter afpersingswebsite Clop zitten. Die groep is wereldwijd verantwoordelijk voor heel wat datadiefstal en bijbehorende afpersingen; van overheidsinstellingen tot farmabedrijven en zelfs militaire doelwitten.
Beveiliging
Aanvallen als dit zullen altijd een risico zijn wanneer je zaken online doet. Dat wil echter niet zeggen dat je je niet kan voorbereiden en je ertegen kan wapenen. De afgelopen weken brachten zowel IBM als Amazon Web Services rapporten uit om je systemen te beschermen. In februari publiceerde IBM ook al zijn jaarlijks rapport omtrent cybersecurity en online aanvallen.
IBM
IBM omschreef en ontleedde een typische aanval met ransomware en deelde die op in vijf stappen. Stap één is toegang, vaak via phishing. Vervolgens is er de probe, het rondzoeken, zeg maar. Vaak gebeurt dat met software die vanop afstand wordt bediend. Voor de derde stap gaan hackers op zoek in het netwerk, naar bepaalde referenties die toegang verschaffen tot waar ze willen zijn. De vierde stap is de effectieve diefstal van data en als laatste, de malware effectief activeren. Analysten die rekening houden met dat model, gaan volgens IBM een aanval met ransomware veel sneller herkennen.
John Dwyer, beveiligingstopman bij IBM, gaf wel aan dat zero-day’s (kwetsbaarheden zonder patch, zoals nu recent bij MOVEit), er wel voor zorgen dat aanvallers meteen naar stap vier kunnen gaan. Dat maakt het voor cybersecurityteams dus extra belangrijk om alert te zijn over zulke kwetsbaarheden.
lees ook
Zo vertaal je security-ambities naar klare bedrijfsdoelstellingen
Het securityrapport van IBM bevat meer dan één suggestie om online beveiliging te verbeteren. Zo is er iets dat zij een ‘domain sinkhole’ noemen. Met zo’n “zinkgat” kunnen organisaties domeinnamen via een interne server sturen die surfers dan een waarschuwing geeft wanneer ze een geblokte site willen bezoeken.
Een andere suggestie is om standaard wachtwoorden sowieso te veranderen en om geregelde controles uit te voeren dat dat ook daadwerkelijk gebeurt. IBM raadt bovendien aan om Windows Script Host uit te schakelen op alle eindpuntcomputers, zodat een kwaadaardig script geen ransomware-aanval kan starten.
Nog een belangrijke en logische, is eenvoudigweg een deftige voorbereiding. Als alle relevante teams goed zijn getraind en er is een planning om te reageren op online aanvallen, kan dat volgens het IBM-rapport tot een miljoen dollar schelen in financiële schade.
Amazon Web Services
Het AWS-rapport (Blueprint for Ransomware Defense) is uiteraard vooral geënt op de systemen van Amazon en bevat tientallen beveiligingsfuncties van AWS.
Zo zijn er de instructies voor het opzetten van een AWS Shield, bedoeld om denial-of-service-aanvallen tegen te houden, waarbij aanvallers er eigenlijk vooral voor zorgen dat een site zo hard moet werken dat gebruikers er niet meer opkunnen.
Guardduty dient dan weer om malware te detecteren en Macie herkent gevoelige data, om automatisch extra beveiliging in te stellen.
Dan is er ook nog Control Tower, voor de setup van CloudTrail om data-events te registreren die worden opgenomen in CloudWatch.
Op het eerste zicht is dit rapport nuttig, maar het benadrukt vooral hoe uitgebreid organisaties hun teams moeten opleiden om te werken met de AWS-systemen.