Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het redactionele gedachtegoed van de redactie.

Zo ga je de strijd aan met (Not)Petya-ransomware

Het kan niemand ontgaan zijn: deze week werden we opgeschrikt door een nieuwe ransomware-variant die zich razendsnel verspreidde. De malware liet zich voor het eerst in de Oekraïne zien. Eindgebruikers startten het vermoedelijk zelf op, op het moment dat ze een extern afgenomen softwarepakket dachten te openen.

Door ketenafhankelijkheden verspreidde het virus zich vanuit Oekraïne de hele wereld over. Onder andere containerbedrijf Maersk en pakketbezorger TNT werden getroffen.

Hoewel alle antiviruspakketten naar aanleiding van de WannaCry-aanval hun signatures hadden aangepast om misbruik van de kwetsbaarheid achter NSA exploit Eternalblue te kunnen voorkomen, hadden de makers van (Not)Petya de Eternalblue exploit dusdanig gemuteerd dat de meeste antiviruspakketten Petya niet detecteerden. Daarnaast verspreidt Petya (of beter: een als Petya gemaskeerde ransomware-variant, ook wel NotPetya genoemd) zich ook via de netwerkrechten van de gebruiker die de ransomware opent. Of via rechten die in het geheugen van die computer aanwezig zijn (oude beheersessies) en waartoe de gebruiker via zijn lokale beheerrechten toegang heeft.

Wat kunnen we doen om ons tegen Petya en vergelijkbare virussen te beschermen? Een aantal tips:

  • Zorg dat systemen van de laatste updates zijn voorzien
  • Zorg dat anti-virus-software overal is bijgewerkt
  • Zorg dat een Windows-domein minimaal op 2012R2 functional level acteert
  • Markeer elk account dat over enige vorm van beheerrechten beschikt als 'protected user" (2012R2 functional level noodzakelijk)
  • Zorg dat KB2871997 op alle oudere, nog ondersteunde, Windows versies is geïnstalleerd. Schakel vervolgens op oudere Windows versies (Windows 7, Windows 2008) credential caching expliciet uit (UseLogonCredential 0) -> https://support.microsoft.com/en-us/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
  • Log op systemen altijd in met 'normale' gebruikersrechten (geen admin). Gebruik accounts met verhoogde 'admin'-rechten (waarmee op andere systemen kan worden ingelogd) alleen op het moment dat ze echt nodig zijn
  • Instrueer medewerkers extra terughoudend te zijn met het openen van onbekende of onverwachte bestanden die via e-mail worden aangeboden (e-mail lijkt in dit geval geen distributiemechanisme, maar dit kan bij andere varianten veranderen)
  • Overweeg privémail die via HTTPS wordt geopend en mogelijk minder goed wordt gecontroleerd (tijdelijk) te blokkeren
  • Isoleer systemen die niet gepatcht kunnen worden binnen het netwerk zoveel mogelijk
  • Blokkeer TCP-poorten die gerelateerd zijn aan SMB en RPC (zoals 445/139/135) zoveel als, zeker daar waar het om koppelingen met externe netwerken gaat





Dit artikel is afkomstig van Computable.be (https://www.computable.be/artikel/6051070). © Jaarbeurs IT Media.
?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Computable Expert
Maarten  Hartsuijker

Maarten Hartsuijker
Security Consultant, Classity. Expert van Computable voor het topic Security.
Hele profiel

Lees meer over:

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×