De NOS meldt dat er mogelijk een nieuwe golf aan ransomware-aanvallen aankomt. Het Nederlandse beveiligingsbedrijf Northwave, dat vaak slachtoffers van dat soort aanvallen bijstaat, waarschuwt hiervoor. Die aanvallen treffen regelmatig bedrijven en overheden, die dan onder druk worden gezet om geld te betalen om toegang te krijgen tot eigen bestanden.
Het bedrijf ziet sinds afgelopen donderdag dat een bekende groep internetcriminelen phishing-mails verstuurt met daarin malafide software. De mails zijn zogenaamd afkomstig van DocuSign, een tool waarmee documenten moeten worden ondertekend. Met de malafide software krijgen ze toegang tot het netwerk van een bedrijf of de overheid, en die toegang verkopen ze door aan een ransomware-groepering. Die perst de organisatie vervolgens af: als ze niet betalen, gaan alle bestanden verloren.
Verhoogde activiteit
“In december en de eerste week van januari waren aanvallers ook al extreem actief”, stelt Steven Dondorp van Northwave. “Veel organisaties zijn dan onderbezet en dat geeft aanvallers een kans om hun gang te gaan.” De aanvallers zijn volgens Northwave hoofdzakelijk uit Oost-Europa afkomstig.
200.000 euro?!
Ransomware-aanvallen troffen een paar jaar geleden vooral thuisgebruikers, die dan een paar honderd euro moesten betalen om weer bij hun bestanden te kunnen. Maar internetcriminelen hebben ontdekt dat er bij bedrijven veel meer te halen is. Als ze bedrijven of overheden compleet stil weten te leggen, zijn die al snel bereid om hoge bedragen te betalen om weer verder te kunnen. Zo betaalde de Universiteit Maastricht ransomware-aanvallers 200.000 euro.
Binnen 2 uur netwerk in greep
Voor bedrijven en overheden is het opletten geblazen: volgens Northwave duurt het na een succesvolle phishing-mail circa twee uur tot de aanvallers het hele netwerk in hun greep hebben. De ransomware zelf volgt een paar dagen later.
Hoe gaat een hacker te werk?
De mail met de onveilige link wordt ontvangen door een medewerker. De medewerker klikt de link aan en op de achtergrond wordt zonder dat de medewerker het weet software geïnstalleerd waarmee de hacker zich toegang verschaft tot informatie.
Een andere trend is dat de link bijvoorbeeld een malafide Office 365 login pagina toont. Op het eerste gezicht lijkt er niets mis met deze pagina. De medewerker logt daarop in en aan de achterkant worden gebruikersnaam en wachtwoord afgevangen voor de hacker. En vervolgens heeft de hacker vrij
spel om in te loggen met de gegevens van de medewerker.
Wat kun je ertegen doen?
Om mail met onveilige bijlagen of onveilige links af te vangen, voordat deze bij de medewerker in de mailbox komt, is het wenselijk om Microsoft 365 Advanced Thread Protection in te zetten. Deze oplossing detecteert onveilige bijlagen en onveilige links in zowel mail, Teams, OneDrive en SharePoint.
Een andere manier is om de eigen Microsoft 365 inlogpagina te voorzien van een logo van het bedrijf, een custom achtergrond en eventuele disclaimer. Hierdoor is het voor de medewerkers herkenbaar en zal een malafide Microsoft 365 inlog pagina worden herkend als ‘niet eigen’.
Een extra maatregel is de inzet van Multi Factor Authenticatie. Hierbij krijg je een melding op je telefoon bij het inloggen op je account. Deze melding moet eerst goedgekeurd worden voordat de aanmelding doorgaat. Op het moment dat een hacker de gebruikersnaam en het wachtwoord heeft weten te achterhalen, kan er niet worden ingelogd omdat er een extra verificatie laag tussen zit.
Welke oplossing past het beste jouw bij organisatie? Kun je wel wat hulp gebruiken bij het kiezen hiervan? Onze experts adviseren jou graag.
Bron: nos.nl