De drie gevaarlijkste ransomwareleveringsvectoren: RDP, VPN en phishing

De drie gevaarlijkste ransomwareleveringsvectoren: RDP, VPN en phishing

Klik voor meer informatie over auteur Gerry Grealish.

Het aantal succesvolle aanvallen met ransomware is zo snel toegenomen dat sommige beveiligingsonderzoekers een levensvatbare tweede carrière ontwikkelen als “onderhandelaars van ransomware, ”Onderhandelen met aanvallers die bedrijfsgegevens gijzelen. Creatieve – en overtuigende – benaderingen van ransomware floreerden tijdens het lockdown-tijdperk, waarbij experts uit de sector een toename van 72 procent in nieuwe ransomwarevoorbeelden constateerden. Met andere woorden, er zijn meer ransomwareaanvallen en meer aanvallers die nieuwe soorten ransomware uitproberen en met succes gebruiken.

Dat gezegd hebbende, valt de overgrote meerderheid van alle ransomware in drie categorieën. Sommigen gebruiken exploits die zich richten op RDP, anderen gebruiken exploits die gericht zijn op VPN en de rest maakt gebruik van phishing-aanvallen. Als u deze drie vectoren kunt beveiligen tegen ransomwarebedreigingen, heeft u uw aanvalsoppervlak drastisch verkleind.

Uzelf beschermen tegen ransomware die gebruikmaakt van RDP

Naarmate ransomware volwassener is geworden, zijn de doelen ervan verschoven – van individuen die waarschijnlijk geen grote bedragen zullen kunnen betalen naar bedrijven met een grotere portemonnee. Zelfs vóór de pandemie standaardiseerden de meeste bedrijven RPD als een oplossing voor hun externe werknemers. Als zodanig werden RDP’s een natuurlijk leveringskanaal voor hackers om te verkennen – en te exploiteren.

De hackers ontdekten al snel drie relevante punten:

1. RDP-kwetsbaarheden komen ongelooflijk vaak voor, waarbij schijnbaar eens per maand nieuwe programmeerfouten worden ontdekt. Bedrijven zijn ondertussen traag met het patchen van deze bugs.

2. Veel bedrijven laten hun RDP-poorten open en vindbaar voor het openbare internet. Dit betekent dat aanvallers gemakkelijk kunnen inbreken met behulp van kwetsbaarheidsscans en aanvallen met het opvullen van inloggegevens.

3. Zelfs als bedrijven hun RDP-implementatiepatches up-to-date houden, is de kans groot dat een gebruiker zwakke inloggegevens heeft, waardoor aanvallers logins kunnen stelen met brute kracht.

Kortom, een vanille RDP-implementatie is een geschenk voor aanvallers, die geld verdienen met het kopen en verkopen van RDP-inloggegevens aan ransomware-aanvallers.

Om je tegen te verdedigen RDP-hackers, is het misschien de moeite waard om een ​​externe leverancier te zoeken die de RPD-filosofie benadert met ingebouwde beveiligingstools. Het kan moeilijk zijn om gezond verstand te implementeren veiligheids maatregelen zoals SSL VPN-integratie, ingebouwde encryptie en tweefactorauthenticatie met behulp van de standaard RDP die bij Windows-besturingssystemen wordt geleverd. Zoek naar een betere versie die sterke referenties afdwingt en uw implementatie minder vindbaar maakt.

Kwetsbare VPN’s zijn een nieuwe weg voor aanvallers

VPN’s zijn pas onlangs zeer populair geworden onder hackers als ransomware-doelwitten, voornamelijk als gevolg van de COVID-19-pandemie. Omdat de meeste kantoormedewerkers op afstand werken, is VPN het belangrijkste kanaal geworden voor gevoelige communicatie tussen huis en kantoor. Dit betekent natuurlijk dat het een veel breder – en aantrekkelijk – aanvalsoppervlak voor ransomware is geworden.

Door een kwetsbaarheid in een van de meest gebruikte VPN’s kunnen hackers verbinding maken zonder een gebruikersnaam en wachtwoord op te geven, waardoor het installeren van ransomware kinderspel wordt. Hoewel er een patch beschikbaar is voor deze kwetsbaarheid, hebben veel organisaties de patch nog niet toegepast, waardoor er nog steeds aanvallen plaatsvinden.

Als u een VPN heeft met deze kwetsbaarheid, moet u deze onmiddellijk patchen. Maar degenen die andere VPN’s gebruiken, zouden niet gemakkelijk moeten rusten. Aanvallers proberen woedend kwetsbaarheden in alle VPN’s te vinden. Uw beste verdediging is nogmaals om open poorten te sluiten, uw VPN-applicatie te verbergen voor het openbare internet en sterke authenticatie af te dwingen. Ongeautoriseerde partijen mogen uw VPN niet kunnen detecteren of erop kunnen inloggen.

Voer bovendien stappen uit om het netwerk waarmee uw VPN externe gebruikers verbindt, te microsegmenteren. Nieuwe technologie, zoals applicatie-isolatie, stelt u in staat om de toegang tot applicaties en IT-bronnen microsegmenteren, waardoor u beleidsregels voor de minst geprivilegieerde toegang voor uw gebruikers kunt creëren. Deze beveiligingsmaatregelen hebben het voordeel dat applicaties en bronnen onzichtbaar zijn voor hackers als ze er op de een of andere manier in slagen een netwerk binnen te dringen via een VPN-kwetsbaarheid, waardoor laterale verplaatsingsaanvallen zoals ransomware en gegevensdiefstal worden voorkomen.

Phishing is weer in stijl voor ransomwareaanvallers

Hoewel e-mail en drive-by-downloads de meest gebruikte methoden waren voor het verspreiden van ransomware, werden deze uiteindelijk ingehaald door exploits die gericht waren op het vinden en aanvallen van open poorten. Phishing kent echter een sterke opleving. Een nieuwe campagne, bekend als Avaddon, houdt zich bezig met het voor de gek houden van doelen door ze e-mails te sturen met foto’s die van hen zijn gemaakt. De bijlage is natuurlijk kwaadaardig. Een soortgelijke campagne die bekend staat als “Mr. Robot ”zou moeten gaan over COVID-19 testresultaten.

De overeenkomst tussen deze twee soorten ransomware is dat ze allebei om extreem kleine bedragen vragen. Avaddon vraagt ​​$ 800 aan losgeld, en Mr. Robot vraagt ​​$ 100, – zakgeld voor de meeste ransomwarecampagnes. Er is niet veel bekend over de groepen achter deze twee soorten ransomware, maar Avaddon is ransomware-as-a-service – wat betekent dat de mensen die de ransomware schrijven de ransomware niet naar buiten sturen, maar in plaats daarvan de software en bijbehorende ondersteuningsdiensten verkopen.

Velen zouden een beveiligingsbewustzijnstraining aanbevelen als tegengif voor phishing-pogingen, maar de eenvoudige aard van de phishing-e-mails die worden verzonden, pleit niet goed voor die aanpak. In een notendop: als uw werknemers zo gemakkelijk voor de gek worden gehouden, zal training niet veel voor hen betekenen. En vrijwel alle mensen kunnen in ieder geval een deel van de tijd voor de gek gehouden worden.

Overweeg een alternatieve aanpak in plaats van training voor beveiligingsbewustzijn: laat uw werknemers webmail gebruiken, samen met een technologie die externe browserisolatie (RBI) wordt genoemd. RBI richt zich op een van de cruciale aannames achter phishing-e-mails – dat wanneer een doelwit op een ingesloten URL klikt, de website die wordt geopend schadelijke bestanden rechtstreeks naar zijn browser kan downloaden – en van daaruit kan het het eindpunt en het hele netwerk infecteren.

In plaats daarvan doet RBI het instantiëren van een browser binnen een container die wordt gehost in de wolk of in de DMZ. Deze browser streamt alleen veilige rendering-informatiegegevens terug naar het eindpunt, maar alle bestanden die in de externe browser zijn gedownload, blijven veilig geïsoleerd binnen de externe browser. Als de werknemer een kwaadaardig uitvoerbaar bestand downloadt, kan het bestand nergens worden uitgevoerd. Werknemers hebben de mogelijkheid om bestanden op hun eindpunt op te slaan, maar alleen als het bestand is gedemonteerd, gecontroleerd, opgeschoond, indien nodig, en weer in elkaar gezet. Het hele proces is transparant voor de gebruiker, die geniet van een volledig interactieve browse-ervaring.

Door elk van deze drie best practices voor elke primaire communicatietechnologie – e-mail, VPN en RDP – te volgen, kunt u uw aanvalsoppervlak voor ransomware aanzienlijk verkleinen. Hoewel veel bedrijven nu een economische malaise voelen, is het versterken van uw netwerk tegen nieuwe ransomware-technologieën een van de slimste investeringen die u kunt doen.