Ransomware-aanval legt navigatie-specialist Garmin lam.

Is jouw bedrijf wel voldoende gewapend?

 Photographer: Gerd Altmann | Source: Pixabay

 Ik neem jullie even mee in mijn recente vakantie-ervaring…

Gezien deze bizarre tijden leek een korte wandelvakantie in de Ardennen mij een ideaal alternatief. Uiteraard kan hierbij een modern sporthorloge, om de afgelegde kilometers, gemiddelden, temperaturen en ander onmisbaar cijfermateriaal ter voeding van de sociale media, zeker niet ontbreken. Met mijn supermoderne, nieuw aangeschafte Garmin horloge zou dit geen enkel probleem mogen zijn.

Of toch? De eerste wandeling zat erop en ik was benieuwd naar de resultaten. Ik ging snel even uploaden en met Strava syncen. En toen zag ik dit:

 Garmin Cloudservice onbereikbaar

 

 Wat gebeurde er precies bij Garmin en wat kan jij doen om te voorkomen dat het jouw organisatie overkomt?

Laten we met de eerste vraag starten. In eerste instantie kondigt Garmin, een grote Amerikaanse speler gespecialiseerd in navigatiesystemen, aan dat het kampt met storingen in hun online systemen. Later blijkt dat ze het slachtoffer werden van een ransomware-aanval.

Hoe gaat zoiets in zijn werk? Wel, Ransomware is een stukje software dat alle bestanden en programma’s in je hele netwerk versleutelt en onbruikbaar maakt. Om de versleuteling te breken (decrypten) betaal je aan de hacker een som losgeld (vaak miljoenen) in Bitcoins. Zo krijg je de sleutel en kan je je eigen gegevens opnieuw gebruiken.

Vandaag is werken vanop afstand via het internet in een serieuze stroomversnelling terecht gekomen. Dat weten cybermisdaadorganisaties als geen ander. Ze gaan dan ook driest te werk om hun fortuinen te vergaren.

Doorgaans gaan hackers via mail te werk, in twee of meerdere fases. Ze versturen mails of berichten met “Deze foto moet je zeker zien!”, of nog persoonlijker “Dit is een prachtige foto van jou!” in de subjectlijn. Hackers doen er alles aan om jouw aandacht te trekken. Zo verschenen er recent e-mails met als onderwerp “Hier vindt u de uitslag van uw COVID-test”. In de mail zit een link die ransomware activeert. Soms gebeurt dit onmiddellijk, vaker wordt bij het downloaden of openen van de link een stukje software of script mee geïnstalleerd dat de hackers vervolgens toegang geeft tot het netwerk. Daar kunnen ze dan hun ding doen.

 Photographer: Jay Wennington | Source: Unsplash

Zo’n ervaringen zetten je aan het denken want wat kan je er tegen doen?

Je beveiliging is zo sterk als de zwakste schakel. Het belangrijkste en vaak ook meest onderschatte is om je medewerkers/collega’s hierin goed te informeren. Leer mensen om te gaan met e-communicatie. Leg hen uit waar ze kunnen op letten, bij welk soort mails er direct een alarmbelletje moet afgaan, hoe ze mogelijks gevaarlijke links kunnen detecteren vooraleer ze er op klikken enzovoort.

Daarboven is het niet onbelangrijk om technologie in te zetten om menselijke fouten op te vangen. Let er hierbij op dat de maatregelen die je neemt, je productiviteit niet lam leggen. Je wil wel een burcht waar de vijand niet in kan, maar zelf wil je er geen dagen over doen om binnen of buiten te geraken.

 

Photographer: Goh Rhy Yan | Source: Unsplash

Voor welke ICT architectuur en/of -oplossing kies je best?

Deze keuze kan namelijk een grote impact hebben op de bedrijfszekerheid van je onderneming. Het vroegere statement “we moeten naar de cloud, want dat is goedkoper” is niet langer van toepassing. Vandaag de dag is het belangrijk om vooraf af te wegen wat voor jou de juiste keuze is. Bekijk wie wat doet en op welke plaats en bepaal welke impact die processen hebben op de bedrijfsvoering. Op basis daarvan worden de ‘waar’ (bv. intern of in een datacenter) en ‘hoe’ (bv. Publiek, private cloud of cloud-app) ingevuld.

Die analyse hoef je niet alleen te doen. Vraag onze deskundige raad, we helpen je graag de juiste keuzes te maken. Samen met onze specialisten werken we de oplossingen uit die precies passen bij jouw bedrijf.

Microsoft Authenticator app lock

Nu veiliger dan ooit 🔐

De enorme toename van cyberaanvallen maakt beveiliging één van onze belangrijkste pijlers. Zero-tolerance beveiliging is cruciaal in het data-gedreven tijdperk van vandaag. Zo paste Microsoft zijn Authenticator App aan om de veiligheid van uw gegevens te waarborgen. Benieuwd hoe het werkt? 🧐 Lees hier het volledige artikel.




Update Windows 10 en Windows Server nu! NSA bug gepatched!

Belangrijke Patch-Tuesday

Microsoft heeft deze week de beveiligingsupdates voor januari 2020 naar goede gewoonte op dinsdag uitgebracht. De updates van deze maand bevatten fixes voor 49 kwetsbaarheden, waarvan er acht zijn beoordeeld met een ernstgraad van “kritiek”. De meest opvallende update is een kwetsbaarheid in CryptoAPI (Crypt32.dll), de standaard Windows cryptografische component. Deze bug is recent ontdekt door de NSA en gerapporteerd aan Microsoft.

Kan jouw beveiligde verbinding afgeluisterd worden ? Ja!

Veel programmeurs gebruiken de CryptoAPI die in Windows zelf is ingebouwd in plaats van hun eigen coderingsroutines te schriijven. Een van de functies die de CryptoAPI biedt is het controleren en valideren van zogenaamde digitale certificaten. Digitale certificaten worden gebruikt voor online diensten die u raadpleegt (zoals websites) of bestanden die u laadt (zoals programma’s).
Digitale certificaten zijn de cryptografische saus die de S in HTTPS plaatst, en het hangslot in de adresbalk van uw browser.
Photographer: Florian Krumm | Source: Unsplash
Ze zijn ook het cryptografische mechanisme dat garant staat voor de leverancier van alle digitaal ondertekende software die u gebruikt. Certificaten zorgen ervoor dat er niet met de software is geknoeid. Het idee is dat u een certificaat maakt om voor uw website of uw software te staan; u krijgt een zogenaamde Certificate Authority (CA) om uw certificaat te tekenen om voor u te staan; en uw browser of besturingssysteem – in dit geval, Microsoft’s CryptoAPI, staat garant voor de CA. Update zo snel als je kan je Windows 10 omgeving!

Update ook Remote Desktop Gateway!

Maar naast deze bug zijn er ook twee andere belangrijke zaken die moeten worden geupdate. Deze twee bugs hebben beide invloed op Windows Server 2016 en Windows Server 2012. Volgens Microsoft is de Windows Remote Desktop Gateway (RD Gateway) component die op deze systemen draait kwetsbaar voor een fout in de code-uitvoering op afstand die aanvallers in staat stelt om kwetsbare Windows servers over te nemen door een RDP-verbinding te initiëren en speciale verzoeken te versturen. De update werkt deze component bij.
update rdp
Update Remote Desktop Gateway!
Deze twee kwetsbaarheden, met als kenmerk CVE-2020-0609 en CVE-2020-0610, treden op voor het RDP authenticatie proces en vereisen geen gebruikersinteractie van de eigenaar van de server. Dit beschouwen wij als zeer gevaarlijk!

Ons advies?

Update zo snel als mogelijk jouw Windows 10 -Windows server installaties op een gecontroleeerde manier. Heb je hulp, assistentie of advies nodig hoe deze updates op een efficiënte wijze uit te rollen, contacteer onze experten!
Update expert
Incrius Expert

Microsoft Secure Score? Weet jij de jouwe?

Wat is de Microsoft Secure Score?

De Microsoft Secure Score vergroot uw inzicht in de algemene cyberbeveiliging van uw organisatie of bedrijf. Vanuit dit dashboard kunt u snel en adequaat de veiligheidsstatus van uw organisatie beoordelen, zien welke toestellen en clouddiensten aandacht nodig hebben. Bovendien kunnen vanuit dit portaal ook maatregelen genomen worden om de cyberbedreigingen in uw organisatie verder te minimaliseren.
microsoft secure score
Photographer: James Sutton | Seeource: Unsplash

Waarom is deze score nuttig?

Het dreigingslandschap evolueert voortdurend. In gesprekken met organisaties en bedrijven horen we vaak over de vele beveiligingsuitdagingen waarmee ze worden geconfronteerd. De uitdaging is voornamelijk het beheren van deze beveiligingstools tegen bedreigingen en het verkrijgen van een overzicht daarvan. Het hebben van te veel beveiligingsoplossingen op verschillende plaatsen of een gebrek aan kennis over welke configuratie het meest effectief is. We begrijpen waarom beveiligingsteams problemen hebben om het juiste evenwicht te vinden tussen veiligheid en productiviteit. Met de Microsoft Secure Score kan je ook jouw resultaat benchmarken met andere organisaties en bedrijven die van dezelfde grootteorde zijn.

Hoe werkt de Microsoft Secure Score?

U krijgt punten voor het configureren van aanbevolen beveiligingsfuncties, het uitvoeren van beveiligingstaken (zoals het bekijken van rapporten) of het aanpakken van de verbeteringsactie met een externe toepassing of software. Sommige verbeteracties geven alleen punten als ze volledig zijn voltooid, en sommige geven gedeeltelijke punten als ze voor sommige apparaten of gebruikers zijn voltooid. Beveiliging moet altijd in balans zijn met bruikbaarheid, en niet elke aanbeveling kan werken voor uw omgeving.
secure score result
Uw score wordt in real time bijgewerkt om de informatie te weerspiegelen die wordt gepresenteerd in de visualisaties en verbeteringsacties. Secure Score synchroniseert ook dagelijks om systeemgegevens te ontvangen over uw behaalde punten voor elke actie.
secue score improvement actions

Enkele praktische voorbeelden

Activeer MFA (en dwing af!)

Multi-factor authenticatie (MFA) is een stevige beveiligingstool en we raden het altijd aan. Office 365-beheerders kunnen MFA voor gebruikers beheren, wat betekent dat je iedereen kunt beschermen die het Office 365-bedrijfsabonnement gebruikt.
multi factor authentication
Multi factor authentication

Activeer ATP

Met ATP (Advanced Threat Protection) kunt u e-mails, bestanden en Office 365 toepassingen realtime beschermen tegen onbekende en geavanceerde aanvallen. ATP scant bijvoorbeeld e-mail bijlagen en URL’s, beschermt tegen phishing, maar checkt ook op onveilige links en malware. Als beheerder kan je niet zien welke e-mails, bestanden of links er verstuurd worden naar uw gebruikers. Dat betekent ook dat je je medewerkers dus ook niet waarschuwen wanneer het gaat om data die u niet vertrouwt. Dat is waar ATP zijn werk doet. ATP werkt op basis van beleidsregels. Met deze beleidsregels geeft u aan wat er moet gebeuren, met welk type bestanden en voor wie dat geldt. Zonder beleidsregels doet ATP niets.
Microsoft ATP
Microsoft ATP in action

Conclusie

De Microsoft Secure Score is een handige tool om je Office 365 – Microsoft 365 omgeving securitygewijs tegen het licht te houden. Op die manier weet je heel snel waar je je beveiliging kan verbeteren en welke maatregelen je daarvoor dient te nemen. Bovendien wordt deze tool voortdurend bijgewerkt met de laatste nieuwe security trends die door Microsoft geïntroduceerd worden. We kunnen dan ook iedere organisatie aanraden om een blik een te werpen op hun score en maatregelen te nemen indien nodig. Jouw score kan je bekijken via: https://protection.office.com/homepage Wil je graag hulp, uitleg of assistentie bij het instellen, afregelen en het verhogen van jouw Microsoft Secure Score, aarzel niet om onze experten te contacteren. Wij helpen je heel graag op weg!

Lek vastgesteld in Internet Explorer en Defender! Noodpatch beschikbaar!

Microsoft heeft een beveiligingsupdate voor dit lek in Internet Explorer uitgebracht. Het lek werd actief misbruikt maar hierover zijn echter geen details bekend gemaakt over hoe dat precies gebeurde. Bovendien bevat de patch ook een fix voor Microsoft Defender.

lek Microsoft patch internet explorer defender
Photographer: Shahadat Shemul | Source: Unsplash

Zulke kwetsbaarheden komen geregeld voor in Internet Explorer. In normale omstandigheden worden deze gerepareerd tijdens 'Patch Tuesday', de maandelijkse dag dat alle beschikbare patches in één keer worden verspreid en geïnstalleerd.

Het lek is in het wild misbruikt waardoor Microsoft zich genoodzaakt ziet om een noodpatch uit te brengen. De kwetsbaarheid werd ontdekt door Clément Lecigne, een onderzoeker van Googles Threat Analysis Group. Die groep ontdekte onlangs ook kwetsbaarheden in iOS die actief werden misbruikt. Of het hier om vergelijkbare aanvallen en aanvallers gaat is niet bekend.

aanval zeroday lek
Photographer: Franck V. | Source: Unsplash
Via het zerodaylek kan een aanvaller volledige controle over het systeem krijgen.

Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie was voldoende geweest. De kwetsbaarheid bevond zich in de laatste versie van Internet Explorer 10 en 11. Verdere details over de waargenomen aanvallen zijn niet beschikbaar gemaakt.

Op de meeste systemen zal de noodpatch automatisch geïnstalleerd worden. Daarnaast is er een workaround maar die kan gevolgen hebben voor verschillende functionaliteiten van de browser. Microsoft adviseert dan ook om de update zo snel als mogelijk te installeren.

Updaten kan je doen via het configuratiescherm. Nadien dien je je toestel te herstarten.

noodpatch voor het lek
Windows Update restart

Onze experts staan steeds ter beschikking indien je nog bijkomende vragen hebt omtrent het installeren van deze noodpatch.

Op ons security event op 10 oktober te Laarne lichten we bovendien nog andere beveiligingsaspecten uit die jouw omgeving nog beter kunnen wapenen tegen hackers en externe bedreigingen. Klik hier voor meer info!

Bonjour et au revoir! Zeroday misbruikt!

Apple Bonjour kwetsbaar en misbruikt door BitPayMer Ransomware met desastreuze gevolgen.

Onlangs kreeg ik een telefoon van een klant op zondagavond. Die vertelde dat het volledige netwerk onbeschikbaar was geworden door een ransomware. Ik kreeg ook een foto toegestuurd van het bericht dat de hackers hadden achtergelaten.

ransomware note bonjour
ransomware note

Hiermee kon ik aan de slag en enkele opzoekingen later kon ik vrijwel zeker besluiten dat het over de BitPayMer RansomWare ging. Een ransomware die sinds 2017 actief is en waar nog geen oplossing voor bestaat.

Nieuwe modus operandi: Apple Bonjour Service

Het ging om een zogeheten "unquoted service path" kwetsbaarheid in de updater van Bonjour. Bonjour is software waarmee iTunes gedeelde muziek op andere computers in een lokaal netwerk kan vinden. Het wordt samen met iTunes geïnstalleerd. Via de kwetsbaarheid konden aanvallers die al toegang tot een systeem hadden Bonjour gebruiken om de BitPaymer-ransomware uit te voeren. Bonjour is digitaal gesigneerde en bekende software. Door de software voor de installatie van de ransomware te gebruiken konden aanvallers detectie door antivirussoftware omzeilen. Eens dat achter de rug was werd er gebruikt gemaakt van account hopping & keyloggers om zo tot bij de beheerders accounts te geraken.

Picture taken over 9 months ago as a part of my 365 project.
Photographer: Michał Kubalczyk | Source: Unsplash

De in Cupertino gevestigde tech-gigant heeft reeds de zero-day kwetsbaarheid op 7 oktober hersteld met de release van iTunes 12.10.1 voor Windows en iCloud voor Windows 7.14 direct nadat de exploit bekend is geraakt.

Het is ten stelligste aan te raden om beide zo snel als mogelijk bij te werken!

Strategische aanpak richting herstel

Maandagochtend stuurden we onze expert ter plaatse om samen met onze klant te bekijken welke data er nog beschikbaar was en wat de status was van de backups.

repair herstel
Photographer: Zhen Hu | Source: Unsplash

Onze klant is een internationaal Europees bedrijf met hoofdvestiging en beslissingcentrum in Duitsland. Van daaruit is ook de ransomware binnengedrongen. Incrius assisteert hen in de Belgische site.

De status op zondagavond was ernstig:

  • Servers onbeschikbaar over alle vestigingen in Europa.
  • Pc's en laptops geëncrypteerd.
  • Status van de backups onbekend en mogelijks ook vernietigd.
  • Onzekerheid of de hackers nog in het netwerk zitten.

Na de eerste vaststellingen bleken de offline backups van zaterdag van België en Nederland nog intact, dat was een hele opluchting! Daar beide netwerken afhangen van het netwerk van Duitsland moeten we wachten tot dat dat weer operationeel is.

In Duitsland zijn in het begin van de week de autoriteiten ingelicht en is een forensisch security team aan de slag gegaan om de besmetting ongedaan te maken. Dit dient heel grondig te gebeuren daar je heel moeilijk kan achterhalen of de indringers zich nog in je netwerk bevinden en waar ze zich verstoppen.

virus bonjour apple
Photographer: Michael Geiger | Source: Unsplash

De operationele schade voor het bedrijf is groot. Werknemers werden enkele dagen technisch werkloos. Systemen moeten hersteld of opnieuw geïnstalleerd worden. Bestellingen lopen vertragingen op. As we speak wordt er met man en macht gewerkt om alles terug operationeel te krijgen.

Security tips & advies

Vandaag de dag is het niet meer de vraag of je gehacked wordt, het is eerder wanneer dat zal gebeuren. Dus dien je beveiligingsmaatregelen te nemen in overeenkomst tot de vereisten die gesteld worden aan jouw business en de complexiteit daarvan.

In de eerste plaats om een besmetting of virus tegen te gaan. Maar bovenal dien je ervoor te zorgen dat je data goed beveiligd is zodat die ten allentijde beschikbaar is ook indien je moet herstellen van die besmetting.

Heb je na het lezen van dit artikel vragen bij jouw beveiligingsbeleid- of maatregelen? Wil je een onafhankelijke audit of analyse? Contacteer onze experten! We staan je graag bij met raad en daad!