deCyberbeveiligingsagentschap van Catalonië heeft de afgelopen weken een toename vastgesteld van ransomware-incidenten gericht op gemeenten op het hele grondgebied. Dit type aanval heeft tot doel de systemen van de entiteit te blokkeren door de informatie te versleutelen en losgeld te eisen voor het resetten of voor het herstellen van de gegevens. Dit losgeld is meestal voor een hoog bedrag en wordt gevraagd in cryptocurrencies (meestal bitcoin).
De meest recente "modus operandi" om deze aanvallen uit te voeren, bestaat uit handmatige inbraken in de IT-systemen van de gemeente. Over het algemeen profiteren ze van blootgestelde toegang tot internet en systemen voor werken op afstand (telewerken), zoals VPN's, RDP of Citrix, waarbij ze eerder gestolen inloggegevens gebruiken of misbruik maken van kwetsbaarheden in dezelfde technologieën. Eenmaal in het interne netwerk stelen ze indien nodig geprivilegieerde gebruikers met behulp van malware om de ultieme ransomware te verspreiden vanaf de domeincontroller zelf of de virtualisatieservers.
Om deze redenen zijn de belangrijkste aanbevelingen die moeten worden toegepast de volgende:
- Het wordt aanbevolen degebruik meervoudige authenticatie (MFA) openbaar toegankelijke systemen en applicaties, om de kans te verkleinen dat aanvallers in eerste instantie toegang krijgen tot het netwerk door gebruik te maken van eerder gecompromitteerde inloggegevens.
- Vergroot het bewustzijn van cyberbeveiliging bij het personeel maakt het aanvallers moeilijk om toegang te krijgen tot de netwerken van organisaties. Actoren zijn minder goed in staat om ransomware in te zetten als ze niet in het netwerk kunnen komen.
- Het is ook essentieel om alle systemen en applicaties up-to-date te houden, vooral degenen die openbaar zijn gemaakt (VPN-services, machinebesturingssystemen met betrekking tot telewerken, enz.).
Ondanks de toepassing van bovengenoemde preventieve maatregelen is geen enkel netwerk 100% veilig. Zodra cybercriminelen toegang hebben gekregen tot het netwerk, zijn er een aantal best practices die laterale verplaatsing en escalatie van privileges bemoeilijken. Het doel van aanvallers is om zoveel mogelijk systemen te controleren, en de meest gebruikelijke manier om dit te bereiken is via een domeinbeheerdersaccount of via de domeincontroller zelf.
- Alleen ICT administratief medewerkers moeten hebbentoegang tot beheerdersaccounts. Het aantal beheerdersaccounts moet dus zo klein mogelijk worden gehouden, waarbij het principe van de minste privileges wordt toegepast, waardoor de kans kleiner wordt dat een aanvaller een geprivilegieerd account verkrijgt.
- Daarnaast de ICT-administratiemedewerkers ze mogen niet inloggen met beheerdersaccounts naar de computers en werkstations van andere gebruikers of van gemeenschappelijk gebruik. Elke computer in de organisatie kan worden gecompromitteerd en de aanvaller kan de inloggegevens die erop worden gebruikt extraheren (bijvoorbeeld door Mimikatz te gebruiken) en toegang krijgen tot een beheerdersaccount.
- Een strategie van netwerk segmentatie is een andere goede gewoonte die zijwaartse beweging zou belemmeren.
Tot slot, en als gouden regel bij het omgaan met ransomware-bedreigingen, is het van het grootste belang om een goede back-upstrategie te hebben.
- De impact van een succesvolle ransomware-aanval wordt aanzienlijk verminderd als je dat hebt gedaaneen còpia recent geïsoleerd beveiligingsnetwerk (air-gapped) of op een "externe" locatie. In dit scenario komt het, in plaats van het totale verlies van informatie of de hoge financiële kosten van het betalen van het losgeld, waarschijnlijk neer op tijdelijke onbeschikbaarheid van de dienst terwijl de infectie wordt beheerd en gegevens worden hersteld.
Dankzij CATALONIA-CERT beschikt het Cyberbeveiligingsagentschap van Catalonië over een hoge responscapaciteit waardoor het tijdig en gecoördineerd kan optreden om de impact van cyberbeveiligingsincidenten die zich op het hele grondgebied voordoen, te minimaliseren. Neem in het geval van een incident telefonisch contact met ons op via 900 112 444 of per e-mail op het e-mailadres cert@ciberseguretat.cat.
Het afgelopen jaar heeft het Cyberbeveiligingsagentschap van Catalonië een specifieke cyberbeveiligingsdienst voor het lokale bestuur gedefinieerd, die tot doel heeft nieuwe beschermings- en responsmogelijkheden te bieden in het licht van cyberbeveiligingsdreigingen en -incidenten en zo aanvallen zoals die het onderwerp zijn te voorkomen van deze aankondiging. De verwachting is dat deze dienst begin tweede kwartaal 2021 operationeel zal zijn, echter is onderstaande mailbox aangemaakt seguretta.aall@ciberseguretat.cat om eventuele twijfels of vragen hierover op te lossen.
