Commentaar Lookout nav nieuws over de verspreiding van USB-sticks met ransomware

Cybercrime

Waarom zou een cybercrimineel USB-sticks met ransomware of andere malware gebruiken?

Dit is een vorm van social engineering en hoewel we deze methode niet vaak tegenkomen, kan het zeer effectief (en dus gevaarlijk) zijn.

  • Net als bij bekendere vormen van social engineering-aanvallen, via e-mail, sms, sociale media, gaming-apps en zelfs via telefoongesprekken, creëren de aanvallers een situatie die gebruiker ertoe verleidt om in te gaan op phishing of om ongemerkt ransomware/malware te installeren.
  • In dit geval betekent het verzenden van een USB-stick dat de aanvaller vrijwel iedere securitymaatregel op het apparaat kan omzeilen en zelfs toegang heeft tot de cloud accounts van het doelwit.
    • Hoewel dit meer werk vereist dan bijvoorbeeld een grootschalige aanval via tekstberichten of e-mail, vergroot dit soort zeer doelgerichte aanvallen te plegen de kans op succes.
    • Fysieke toegang tot een apparaat is altijd de meest directe manier om een gebruiker en de bijbehorende accounts te infecteren. Hoewel de aanvaller de USB-stick misschien niet zelf plaatst, is bijna net zo effectief als directe fysieke toegang tot een apparaat.

 

Hoe kunnen organisaties zich verdedigen tegen aanvallen met hardware?

Ransomware werkt niet langer individuele apparaten. In plaats daarvan maken de aanvallers gebruik van de connectiviteit van de cloud om toegang te krijgen tot de veelgebruikte, waardevolle gegevens van een organisatie en deze te versleutelen. Daarmee kunnen ze een organisatie volledig lam leggen totdat het is opgelost, zoals we helaas al diverse keren hebben gezien.

  • Een aanval met hardware kan beginnen met slechts één machine of één server, maar in het huidige dreigingslandschap is de toegang tot de infrastructuur die hiermee ontstaat het grootste risico.
  • Slechts één succesvolle BadUSB-aanval kan een ransomware-groep al een achterdeur verschaffen tot die infrastructuur, ongeacht of deze zich in de cloud of on-premises bevindt.

Dit incident laat onderstreept nogmaals hoe belangrijk het is om inzicht te hebben in het risicoprofiel van iedere gebruiker en ieder apparaat in de infrastructuur en de mogelijkheid om continu voorwaardelijke toegang te verlenen op basis van dat risiconiveau.

  • Dit is moeilijker geworden omdat steeds meer organisaties hun medewerkers alle apparaten laten gebruiken waarmee ze productief kunnen zijn, via het een Bring Your Own Device (BYOD)-model.
  • Meer BYOD betekent dat werknemers onbeheerde privé smartphones, tablets en computers gebruiken. Zonder volledige controle over een apparaat moeten security- en IT-teams voortdurend waakzaam zijn voor malware die via dit soort privé-apparatuur de IT-infrastructuur van het bedrijf binnenkomt.
  • Het gebruik van één compleet platform met Cloud Access Security Broker (CASB) en Zero Trust Network Access (ZTNA) -oplossingen is een essentieel onderdeel om voorwaardelijke toegang in te stellen voor de gehele infrastructuur. Dit soort ‘agent-loze’ oplossingen zijn de enige manier om ook privé apparaten of andere onbeheerde apparaten te beveiligen.

Hoe kunnen medewerkers getraind worden om dit soort aanvallen tegen te gaan?

Het geven van regelmatige securitytrainingen voor alle werknemers zou een topprioriteit moeten zijn voor iedere organisatie.

  • Tegenwoordig heeft vrijwel iedere medewerker voldoende toegangsmogelijkheden  tot de infrastructuur om een ​​cyberaanval op zijn minst startpunt te bieden en zich vervolgens zijdelings door de hele infrastructuur te verplaatsen.

Net als bij andere social engineering- of phishing-scenario’s kan dit soort aanvallen goed worden afgeslagen als de ontvangers altijd eerst checken bij de schijnbare afzender.

  • Zelfs wanneer een poststuk met een USB-stick afkomstig lijkt te zijn van de interne IT-afdeling, zou de eerste stap altijd moeten zijn om te checken of dit klopt.

Hoe hebben de veranderende werkomstandigheden door de coronapandemie de kans op dit soort aanvallen vergroot of deze gevaarlijker gemaakt?

Al vóór de coronapandemie waren werknemers die thuis of op afstand werken moeilijker op dezelfde manier te beveiligen als de mensen die intern werken.

  • Wanneer werknemers thuis werken, zijn misschien minder bedacht op mogelijke risico’s dan wanneer ze op kantoor zijn.
  • Als een werknemer privé apparaat gebruikt dat niet is verstrekt en wordt beheerd door zijn bedrijf, denkt hij misschien niet na over de mogelijke risico’s voor alle gegevens op de zakelijke platforms waarmee dat apparaat verbinding maakt.

 

Lees ook
Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Dit zijn de verwachtingen in 2024 voor het continu veranderende dreigingslandschap

Niemand weet wat ‘The Next Big Thing’ in het dreigingslandschap wordt. Wat wel mogelijk is, is terugkijken naar 2023, opvallende gedragingen van actoren identificeren en een gefundeerde inschatting maken van wat 2024 mogelijk in petto heeft.

TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.