Blog door Ilias el Matani, Security Specialist, SecureLabs

Organisaties zijn het afgelopen kwartaal steeds vaker getroffen door ransomware. De malware versleutelt bestanden en probeert slachtoffers geld te laten betalen om de bestanden weer te ontsleutelen. Uit eigen onderzoek is gebleken dat dit voornamelijk komt doordat medewerkers bijlagen en linkjes in privémail openden.

De media informeert vaak over het feit dat men niet zomaar deze bijlagen moet openen of op linkjes in emails moet klikken. Er is echter weinig aandacht voor de maatregelen die organisaties zelf kunnen treffen om zichzelf te beschermen tegen de gevolgen van ransomware.

Advies

SecureLabs adviseert organisaties om tenminste de volgende maatregelen te implementeren:

  • Blokkeer verkeer naar C2 (DNS/IP-)adressen;
  • Zonder een succesvolle sleutel overdracht zal de ransomware (in de meeste gevallen) niet actief worden en blijven de gevolgen beperkt;
  • Schakel macro’s uit voor (vanaf het internet afkomstige) Office documenten;
  • Schakel Windows Script Host uit;
  • Blokkeer bestanden met uitvoerbare code op de (virtuele) werkplekken. Denk aan bijvoorbeeld bestanden met de volgende extensies: .js, .vbs, .exe. Hiervoor kan gebruik worden gemaakt van Software Restriction Policies (SRP);
  • Mocht dit niet mogelijk zijn, dan is het advies om het uitvoeren van uitvoerbare code binnen in ieder geval de volgende mappen te blokkeren: ‘%LocalAppData%’ en ‘%AppData%’;
  • Zorg ervoor dat de virusscanner goed ingesteld staat (on access scanning) en up-to-date is. Verdachte bestanden dienen zonder interactie met de gebruiker in quarantaine gezet te worden.

Als alle hierboven genoemde maatregelen genomen zijn, kan het nog steeds zo zijn dat uw organisatie te maken krijgt met de gevolgen van een ransomware infectie. Om deze reden is het van belang om regelmatig back-ups te maken en periodiek het terugzetten hiervan te testen.

Het creëren van bewustzijn over de risico’s van het internet bij gebruikers is net zo belangrijk als het nemen van de juiste maatregelen.