FBI en NSA publiceren vernieuwde handleiding om ransomware te stoppen

[Captain Kirk]

De FBI en de Amerikaanse geheime dienst NSA hebben een vernieuwde handleiding gepubliceerd om ransomware te stoppen (pdf). De oorspronkelijke handleiding verscheen in 2020, maar volgens de overheidsdiensten hebben aanvallers sindsdien hun tactieken en technieken verder ontwikkeld. De aangepaste handleiding bevat onder andere geleerde lessen van de afgelopen jaren en aanvullende aanbevelingen om de impact van ransomware beperken.

De handleiding beschrijft verschillende stappen die bij het voorkomen van ransomware of beperken van de impact belangrijk zijn, zoals het voorbereid zijn op een aanval door het maken van back-ups, het opstellen en onderhouden van een cyber incident response plan en het implementeren van een zero trust-architectuur. Ook wordt er ingegaan op het voorkomen van infecties waarbij aanvallers gebruikmaken van kwetsbaarheden en misconfiguraties.

Zo wordt aangeraden om Server Message Block (SMB) v1 en v2 uit te schakelen, het gebruik van het remote desktop protocol (RDP) te beperken, wachtwoorden van minimaal vijftien karakters te gebruiken en dagelijkse werkzaamheden niet via accounts met roottoegang uit te voeren. Tevens moet personeel tijdens de jaarlijkse securitytraining op wachtwoordveiligheid worden gewezen en is het nodig om veelgebruikte bestandstypes door malware via een e-mailfilter te stoppen. Ook moeten macro's in Microsoft Office-bestanden die via e-mail zijn verstuurd worden uitgeschakeld, wat ook geldt voor de Windows Script Host (WSH). De handleiding geeft verder ook "best practices" advies om systemen te hardenen.

Het tweede deel van de handleiding bevat adviezen wat organisaties moeten doen als hun systemen door ransomware zijn getroffen. Het gaat dan bijvoorbeeld om het isoleren van systemen of het uitschakelen daarvan als ze niet uit het netwerk zijn te verwijderen, maar ook het opschonen van systemen en herstel. De aanpassingen ten opzichte van de eerste versie gaan vooral over infectievectoren, waaronder gecompromitteerde inloggegevens en geavanceerde vormen van social engineering en een uitgebreidere ransomware response checklist, met tips voor 'threat hunting' en detectie.

 

 

bron: https://www.security.nl