Europol-directeur Rob Wainwright vreest voor nieuwe aanvallen aanstaande maandag wanneer veel mensen weer aan het werk gaan en hun computer opstarten. Hij zei dit vandaag, zondag 14 mei, tegen de Britse zender ITV.
Ook volgens Ronald Prins van beveiligingsbedrijf Fox-IT is de dreiging nog niet voorbij. Afgelopen zaterdag zei hij in het NOS Radio 1 Journaal: “Bij succesvolle nieuwe criminele campagnes zie je vaak dat er copycats zijn. Criminelen die zien dat het trucje goed werkt en het ook razendsnel implementeren.”
WannaCry
De cyberaanval van afgelopen vrijdag waarbij in 150 landen computers werden gegijzeld met de ransomware WannaCry, leek dit weekend aanvankelijk over zijn hoogtepunt heen. Een onderzoeker kwam erachter dat de gijzelsoftware een zogenaamde kill switch heeft, waarmee het zichzelf kan uitschakelen.
Securitypatch voor Windows XP en Windows 8
De ransomware kon zich verspreiden via een kwetsbaarheid in Windows. Microsoft heeft hiervoor een update uitgebracht. Volgens de softwaregigant is iedereen die de meest recente versie van het besturingssysteem en een antivirusprogramma heeft, beveiligd tegen WannaCry. Microsoft heeft zelfs een securitypatch beschikbaar gesteld voor systemen die niet meer worden ondersteund (zoals Windows XP, Windows 8 en Windows Server 2003).
Algemene tips voor bedrijven
– Altijd zo snel mogelijk patchen, patchen, patchen, patchen, patchen en patchen!
– Gebruik vulnerability scanning-tooling zoals Qualys, Nessus of desnoods OpenVAS (deze zit ook in OSSIM). Zo kunt u kwetsbarheden in het interne netwerk ontdekken en het updateproces controleren
– Blokker Tor (The Onion Router) vanuit het bedrijfsnetwerk
– Maak Port 137-139 en 445 ontoegankelijk vanaf het Internet
– Gebruik altijd 2FA-/IP-restrictie als RDP (3389) vanaf internet toegankelijk moet zijn
– Gebruik anti-exploitproducten op endpoints
– Zet SMB- (en liefst alle) verkeersstromen intern alleen open waar dat nodig is. Endpoints hoeven vaak niet via SMB met elkaar te communiceren: dit kan ook met een lokale firewall
– Filter uitgaand verkeer en gebruik een intrusion prevention systeem (IPS)
– Blokkeer alle uitvoerbare bestanden en scripts in inkomende mail (inclusief bijlagen)