Infecties door ransomware die bedrijven soms weken of maanden platleggen zijn prima te voorkomen en it-professionals spelen hierbij een belangrijke rol, zo stelt Microsoft. De softwaregigant heeft een analyse gepubliceerd van verschillende groepen die ransomware handmatig bij organisaties installeren.

Afbeelding bron : microsoft.com

Het gaat onder andere om de Ryuk- en Doppelpaymer-ransomware. Deze handmatig uitgevoerde ransomware-aanvallen beginnen vaak met een standaardmethode zoals een phishingmail of bruteforce-aanval op RDP (remote desktopprotocol). Dergelijke aanvallen slagen omdat organisaties van zwakke RDP-wachtwoorden gebruikmaken of onvoldoende of helemaal niet reageren op meldingen van antivirussoftware, aldus Microsoft.

Bij sommige van de meest succesvolle ransomware-aanvallen die Microsoft onderzocht hadden systeembeheerders opzettelijk de antivirussoftware op de aangevallen servers uitgeschakeld, mogelijk om de prestaties te verbeteren. Dezelfde servers beschikten vaak niet over een firewall of multifactorauthenticatie of maakten gebruik van zwakke domeinwachtwoorden en niet-willekeurige lokale beheerderswachtwoorden.

"Vaak worden deze beveiligingsmaatregelen niet uitgerold omdat de angst bestaat dat ze bedrijfsoperaties verstoren of invloed op de prestaties hebben. It-professionals kunnen helpen bij het bepalen van de werkelijke impact van deze instellingen en samenwerken met securityteams op het gebied van mitigatiemaatregelen", stelt Microsoft. De softwaregigant merkt op dat aanvallers misbruik maken van instellingen en configuraties die systeembeheerders beheren en instellen. "Gegeven de sleutelrol die ze spelen zouden it-professionals onderdeel van securityteams moeten zijn", gaat Microsoft verder.

Systeembeheerders moeten ook alerter reageren op meldingen van malware op systemen. Vaak worden deze meldingen niet goed opgepakt, waardoor infecties actief blijven. Deze ogenschijnlijk onbelangrijke infecties kunnen aanvallers toegang tot het netwerk geven en uiteindelijk helpen bij het uitrollen van de ransomware. Verder moeten organisaties zich minder richten op het oplossen van meldingen en uitgebreider onderzoeken door welke aanvalsvector de waarschuwing werd veroorzaakt.

Tevens is het belangrijk dat aanvallers zich niet lateraal van de ene naar de andere machine kunnen wegen. "De belangrijkste aanbevelingen voor het voorkomen van ransomware en andere handmatig uitgevoerde campagnes zijn een goede wachtwoordhygiëne en het stoppen van onnodige communicatie tussen endpoints", laat Microsoft weten. In de analyse doet het softwarebedrijf verschillende aanbevelingen om cyberaanvallen te voorkomen.