Archief op 2021-08-30

Ransomware raakt kleine ondernemers keihard: ‘Ik zie bedrijven kapot gaan’

‘All your files have been encrypted!’ Het is de nachtmerrie van iedere ondernemer: hackers die ransomware plaatsen op computers en honderdduizenden euro’s aan losgeld eisen. De afgelopen tijd komt het steeds vaker voor. Toch onderschatten ondernemers de risico’s – vooral die in het midden- en kleinbedrijf. Het zijn juist die kleine ondernemers die extra op moeten letten, waarschuwt MKB Nederland.

“Machteloosheid”, zo omschrijft Peter de Haas van Excluparts het gevoel. Het automaterialenbedrijf waar hij financieel directeur is, werd in 2019 getroffen door een ransomware-aanval. Op een ochtend zette hij de computer aan en ineens werkte het hele systeem niet meer. ‘Zal wel een probleem met de server zijn’, dacht hij nog, maar langzaam werd duidelijk dat het een stuk ernstiger was.

Criminelen waren binnengekomen in hun computers én in de back-upbestanden. De enige manier om alles terug te krijgen was losgeld betalen in bitcoins. Want dat is de methode bij een ransomware-aanval: je bestanden zijn vergrendeld en alleen door geld te betalen krijg je het terug.

Lees hier verder. © RTL Nieuws

Ransomware is een bittere realiteit, dus hoe slaan bedrijven terug?

Ransomware-aanvallen hebben een enorm gat geslagen in de financiële boekhouding van bedrijven die losgeld hebben betaald. Daarnaast is het risico op dergelijke aanvallen alleen maar groter geworden door de massale transitie naar het thuiswerken van de afgelopen periode. Het verleggen van de grenzen van het kantoor naar online locaties op afstand heeft ernstige kwetsbaarheden blootgelegd waar criminelen dankbaar misbruik van hebben gemaakt.

Dit stelt Dave Russell, Vice President, Enterprise Strategy bij Veeam: “Inmiddels vindt er elke elf seconden ergens op de wereld een ransomware-aanval plaats. Om dit in context te plaatsen: in de vijf minuten die het je kost om dit artikel te lezen, zijn er 27 bedrijven aangevallen met ransomware. Ondanks dat het beste advies is om niet toe te geven aan cyberaanvallers en vooral niet te betalen, doen de meeste bedrijven dat wel. Zij voelen extreme druk om de schade te beperken en dat doen zij – in hun ogen – door te betalen.
Vooral bedrijven die al moeite hebben het hoofd boven water te houden als gevolg van de COVID-19-pandemie, besluiten vaker om toch losgeld te betalen in plaats van verdere schade op te lopen. Dit moedigt cybercriminelen echter alleen maar aan om deze lucratieve illegale markt te blijven exploiteren. Dat blijkt dan ook uit de 600 procent toename van aanvallen sinds het begin van de pandemie.
Er is ook positief nieuws. Bedrijven en overheden hebben inmiddels erkend dat dit niet langer zo kan. Ransomware staat nu niet alleen hoog op de agenda van menig bestuurskamer, het wordt zelfs besproken bij de G7 en is onderwerp van gesprek bij ontmoetingen tussen wereldleiders. Dit is hét moment om een vuist te maken tegen ransomware en om na te denken over moderne gegevensbescherming.”

Lees hier verder. © Managers Online

Mirai-botnet besmet routers en wifi-versterkers via lek in Realtek-software

Een kwetsbaarheid in de software van chipsetfabrikant Realteak die vorige week werd onthuld wordt inmiddels actief gebruikt door een variant van de Mirai-malware om routers en wifi-versterkers onderdeel van een botnet te maken. Dat stelt securitybedrijf Sam in een analyse.

Het beveiligingslek, aangeduid als CVE-2021-35395, bevindt zich in de Realtek software development kit (SDK) die hardwarefabrikanten gebruiken om de Realtek-chipset binnen hun router, wifi-versterker en andere apparaten te kunnen gebruiken. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 met een 9,8 beoordeeld. De kwetsbare Realtek SDK wordt volgens Sam door meer dan 65 leveranciers voor meer dan tweehonderd apparaten gebruikt. Het gaat onder andere om de Netis E1+, Edimax N150 en N300 wifi-router en Repotec RP-WR5444-router.

Door het versturen van een speciaal request naar de managementinterface van de webserver, waarmee het apparaat kan worden geconfigureerd, is het mogelijk een buffer overflow te veroorzaken en zo willekeurige code of commando’s op het apparaat uit te voeren. Aanvallers gebruiken het beveiligingslek om kwetsbare routers en wifi-versterker met een variant van de Mirai-malware te infecteren.

“Dergelijke kwetsbaarheden zijn eenvoudig te misbruiken en snel binnen bestaande hackingframeworks die aanvallers toepassen te integreren, voordat apparaten zijn gepatcht en beveiligingsleveranciers kunnen reageren”, aldus Omri Mallis van Sam. Realtek heeft beveiligingsupdates uitgebracht (pdf), maar die moeten nog wel door de betreffende leveranciers van de apparaten als patch aan gebruikers worden aangeboden.

Lees hier verder. © Security.nl

Betekent ransomware-verzekering ook extra veiligheid?

Nederlandse bedrijven hebben de hoogste ransomware-verzekeringen, zo was onlangs te lezen op Computable. Dat Nederlandse organisaties hierin investeren, is niet verrassend gezien het toenemend aantal ransomware-incidenten. Want vallen essentiële organisaties stil, dan is de ontwrichting van de maatschappij niet ver weg.

Het is raadzaam te kijken naar de mate van beveiliging binnen een bedrijf. Worden alle systemen op de juiste manier beveiligd en hoe is dit geregeld? Bij een inboedelverzekering kijken verzekeraars naar de verschillende beveiligingsmaatregelen die huiseigenaren hebben genomen. Bij een betere beveiliging – denk aan alarminstallaties, rookmelders en sloten met een keurmerk – is de premie lager. Bij ontbrekende beveiliging komen verzekerden soms niet eens in aanmerking. Dat zou ook de norm moeten worden voor de virtuele wereld en bijbehorende verzekeringen.

Cyberhulp

“De verzekering betekent een vergoeding voor de kosten van experts die nodig zijn om de schade te beperken”

Bijna alle Nederlanders zijn verzekerd voor schade aan de inboedel door bijvoorbeeld brand, lekkage of inbraak, maar dat geldt niet voor digitale inbraken. Pas sinds vorig jaar wordt er een cyberverzekering aangeboden voor particulieren. De dekking is daarbij niet bedoeld om schade, zoals het losgeld bij ransomware of een nooit ontvangen online-bestelling, te vergoeden. Het is een vergoeding voor de kosten van experts die nodig zijn om de schade te beperken. Ofwel, een verzekering voor cyberhulp. Is het zinvol voor organisaties om ook massaal in te zetten op een cyber- of ransomware-verzekering?

Beveiligingsoplossingen vereisen investeringen, maar leveren bedrijven op het eerste oog niets op. De omzet wordt niet hoger en de kosten zijn niet lager. Voor organisaties is er dus niet direct een return on investment zichtbaar. Daarom staat het beveiligen van servers of systemen meestal niet hoog op het verlanglijstje van bedrijven. Ze ondernemen pas actie nadat ze zijn gehackt. Maar dan is het kwaad vaak al geschied en zijn de kosten en problemen niet te overzien. Voorkomen is dus beter dan genezen. Maar dat horen we de laatste maanden heel regelmatig.

Torenhoog

Preventie is essentieel wanneer we het hebben over cybersecurity: voorkomen staat gelijk aan bescherming, genezen staat gelijk aan verzekeren. Het voorkomen van cyberaanvallen, met behulp van de juiste beveiligingssoftware, is in mijn ogen dan ook de basis voor bedrijfscontinuïteit. Zonder specifieke beveiligingsmaatregelen kan een bedrijf namelijk langere tijd geen toegang hebben tot belangrijke (interne) informatie of kan er vertrouwelijke data worden buitgemaakt. De kosten die uit deze verliezen voortkomen, zijn meestal torenhoog. En dan heb ik het nog niet eens over de herstelwerkzaamheden die na een hack moeten plaatsvinden.

Elk bedrijf gaat op een andere manier om met beveiliging en dat vereist telkens een andere vorm van support. Het is goed dat er meer bewustzijn wordt gecreëerd rondom de gevaren van cybercriminaliteit in de vorm van een ransomware-verzekering. Wat vooral belangrijk is, is om óók hier maatwerk toe te blijven passen, net als bij de beveiliging van bedrijven. Het zou namelijk een onnodige kostenpost opleveren als een bedrijf wél goed beveiligd is, maar daarbovenop een prijzige verzekering afsluit.

Zinvol

Het kan voor organisaties zeker zinvol zijn om een verzekering af te sluiten rondom hun digitale veiligheid, zolang ze ook de benodigde beveiligingssoftware geïmplementeerd hebben. Deze verzekering hoort zich dan te richten op het verzekeren van risico’s die organisaties niet of lastig zelfstandig kunnen dragen. Verzekeraars hebben op hun beurt de verantwoordelijkheid om te controleren in hoeverre organisaties beveiligd zijn. Hier kunnen zij hun premies eventueel op aanpassen. Toch blijft het credo: voorkomen is beter dan genezen. Zorg daarom voor een goed slot op de (digitale) deur om kwaadwillenden buiten te houden.

© Computable

Bijna tweeduizend Exchange-servers besmet via ProxyShell-lekken

Bijna tweeduizend Microsoft Exchange-servers zijn de afgelopen dagen besmet via drie kwetsbaarheden die bekendstaan als “ProxyShell”. Door de drie beveiligingslekken te combineren is het mogelijk voor ongeauthenticeerde aanvallers om kwetsbare Exchange-servers op afstand over te nemen. Deze servers worden onder andere met ransomware geïnfecteerd. De Amerikaanse overheid roept organisaties op om snel in actie te komen.

Microsoft kwam in april en mei met beveiligingsupdates voor de kwetsbaarheden, aangeduid als CVE-2021-34473, CVE-2021-34523 en CVE-2021-31207. Orange Tsai, de onderzoeker die de beveiligingslekken ontdekte, gaf begin deze maand tijdens de Black Hat- en Defcon-conferenties een presentatie waarin hij technische details over de kwetsbaarheden besprak. Aan de hand van deze informatie konden exploits worden gepubliceerd, die vervolgens tegen kwetsbare Exchange-servers werden ingezet.

Het Internet Storm Center meldde recentelijk op basis van een scan van zoekmachine Shodan dat er nog meer dan 30.000 ongepatchte Exchange-servers op internet waren te vinden. De afgelopen dagen is er een toename van het aantal aanvallen op deze machines. Zo meldde securitybedrijf Huntress Labs dat het meer dan honderdveertig verschillende webshells op bijna tweeduizend ongepatchte Exchange-servers heeft aangetroffen. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando’s uit te voeren.

Beveiligingsonderzoeker Kevin Beaumont laat weten dat er een groep aanvallers is die de kwetsbaarheden gebruiken om Exchange-servers met ransomware te infecteren, genaamd LockFile. Deze ransomware versleutelt bestanden voor losgeld. Vanwege de toegenomen aanvallen roept het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security organisaties op om met spoed kwetsbare Exchange-servers binnen het eigen netwerk te identificeren en de beveiligingsupdates van Microsoft te installeren.

Lees hier verder. © Security.nl

© MeT-Groep