Een van de trends die we als beveiligingsspecialisten in de tweede helft van 2020 zagen opkomen, is een nieuwe golf van ransomware-aanvallen die te omschrijven zijn als vormen van dubbele afpersing. Met deze aanvallen geven cybercriminelen hun slachtoffers een extra reden om losgeld te betalen. Denk aan de dreiging om de versleutelde data te verkopen of zelfs te veilen. De bende achter REvil (ook bekend als Sodinokibi) was de eerste die deze strategie toepaste. Zij werd snel nagevolgd door andere groepen.
De frequentie en impact van ransomware-aanvallen van de afgelopen jaren heeft aangetoond dat elke entiteit een potentieel doelwit is. Als gevolg hiervan hebben organisaties geïnvesteerd in antimalware-technologieën en in het implementeren van effectieve back-upstrategieën om zo worst case-scenario’s van een succesvolle destructieve ransomware-aanval tegen te gaan.
Back-up nutteloos
Maar bij een ‘dubbele afpersing’-aanval is de beschikbaarheid van een back-up in feite nutteloos. De dreiging om data te lekken zet meer druk op het slachtoffer om te betalen omdat de potentiële economische en reputatieschade verwoestender kan zijn dan het verlies van gegevens.
Parallel aan deze nieuwe afpersingsstrategie hebben aanvallers ook hun aanpak veranderd. Zij gingen van een opportunistisch model naar een meer gerichte aanpak. Ze kiezen aan het internet gekoppelde systemen om in te breken in het netwerk van hun doelen. Op deze manier kan de aanvaller snel een stempel drukken, de kwaadaardige payload injecteren en ervoor zorgen dat deze zich snel verspreidt over de hele organisatie.
Kwetsbare VPN-oplossingen
Het klinkt wellicht vreemd, maar aanvallers zijn zelfs geholpen door technologieën die waren bedoeld om organisaties te beschermen. Vrijwel elke belangrijke VPN-leverancier heeft sinds 2019 te maken gehad met ernstige kwetsbaarheden. Bepaalde netwerk- of VPN-apparatuur is een ideaal doelwit voor een cybercrimineel. Dit, omdat een VPN direct gekoppeld is aan het internet en netwerktoegang biedt tot de interne resources. CVE-2019-11510, CVE-2018-13379, CVE-2019-1579, CVE-2019-19781, CVE-2020-2021, CVE-2020-5902 zijn slechts enkele voorbeelden van de kwetsbaarheden met invloed op deze apparaten. Ze zijn in de praktijk gebruikt om ransomware te injecteren. Ook door overheden.
De timing van deze kwetsbaarheden kon niet slechter zijn. Ze werden allemaal ontdekt vlak voor en tijdens de COVID-19-crisis, toen organisaties, om de bedrijfscontinuïteit te garanderen, bijna van de ene op de andere dag moesten overschakelen op thuiswerken en sterk afhankelijk waren van remote access-technologieën. Zo gaven organisaties aanvallers ongewild nog wat extra hulp. En als we bedenken dat verschillende leveranciers enkele dagen nodig hadden om patches te leveren, is het gemakkelijk te begrijpen waarom deze aanvallen zo geslaagd waren.
Pas op met RDP
Echter, kwetsbare VPN-concentrators zijn niet de enige kritische systemen die door aanvallers te misbruiken zijn. Een andere technologie voor externe toegang speelde een belangrijke rol tijdens de pandemie in het bieden van een extra mogelijkheid voor aanvallers. Dat is RDP (Remote Desktop Protocol).
Het direct openen van een RDP-verbinding op het internet is duidelijk een slecht idee. Maar voor veel organisaties was dit tijdens de pandemie de snelste manier om toegang op afstand te bieden tot interne resources. Deze verbindingen maken bedrijven gevoelig voor brute-force- en wachtwoordspray-aanvallen. Tal van beveiligingsbedrijven zagen een toename van Brute-Force RDP-aanvallen.
Aanvallers zijn wat dit betreft creatief geweest. Ze vonden verschillende manieren om inkomsten te genereren met een aanval. Dit, afhankelijk van hun intenties. Ze kunnen een ransomware-aanval lanceren. Maar ook de interne gegevens stelen. En zelfs de inloggegevens van de RDP verkopen op illegale marktplaatsen of ondergrondse fora. Dat is ook voor gecompromitteerde VPN-inloggegevenseen gangbare praktijk, zelfs door statelijk gesponsorde actoren.
Het aanvalsoppervlak voor externe toegang verkleinen
Als je echt via een VPN op netwerkniveau toegang moet bieden tot interne middelen, zorg er dan voor dat systemen zijn bijgewerkt met de nieuwste patches. Of dat je alle risicobeperkende maatregelen van de leverancier doorvoert als een patch nog niet beschikbaar is. Om je te beschermen tegen brute-force en wachtwoordspray-aanvallen, is het zaak een effectief wachtwoordwijzigingsbeleid af te dwingen en, indien mogelijk, te combineren met multi-factor authenticatie zowel op de buitenste laag als bij toegang tot een interne bron. En schakel natuurlijk altijd de VPN-toegang uit voor degenen die dit niet nodig hebben.
En blokkeer in het geval van RDP de toegang tot de RDP-poorten (3389 TCP / UDP) als deze niet nodig zijn. Beperk de toegang tot degenen die het echt nodig hebben. Gebruik verder een mediaton-gateway om te voorkomen dat het systeem rechtstreeks aan het internet is gekoppeld. En zorg bij net als bij VPN’s voor multi-factorauthenticatie en authenticatie op netwerkniveau voor RDP.
Onthoud dat het moeilijker is datgene aan te vallen dat je niet kunt zien. Naast multi-factor authenticatie en gedwongen wachtwoord-verandering is het nog effectiever om een Zero Trust oplossing voor traditionele VPN’s in te zetten. Deze stelt organisaties in staat om vrijwel elke service op de applicatielaag (inclusief een RDP-server) te publiceren. Dit zonder beperkingen in termen van horizontale schaalbaarheid. Het vereist ook minimale beheeroverhead. Bijkomende voordelen zijn dat de interne systemen niet direct zijn blootgesteld aan het internet. En dat het veiligheidsniveau van de van de gebruiker wordt gecontroleerd voordat er toegang is tot resources. Tot slot, dwing altijd effectieve endpoint-security af om te voorkomen dat het apparaat op afstand wordt gebruikt als een springplank en leidt gebruikers op om de risico’s van de remote werkplek goed in te kunnen schatten.
Frederik Jans, Regional Sales Manager bij Netskope
