Vooralsnog zijn er geen berichten over Nederlandse slachtoffers. Wat is er aan de hand? En moeten organisaties stappen ondernemen?

Wat is er aan de hand?

Malafide Flash-installer

De Bad Rabbit-ransomware lijkt enigszins op 'voorgangers' NotPetya en WannaCry. Het wezenlijke verschil is dat de voorgangers actief zoeken naar lekken. Bij Bad Rabbit worden gebruikers gelokt met een valse melding dat zij Flash moeten updaten. Deze Flash-installer is echter een malafide executable.

Na het installeren van de malafide Flash-software verspreid Bad Rabbit zich verder via het netwerk. Hierbij wordt echter geen gebruik gemaakt van de EternalBlue-exploit (een lek in SMB), wat bij eerdere ransomware-aanvallen wel het geval was. In plaats daarvan past de ransomware een lijst met (standaard) usernames en wachtwoorden toe om zich verder via SMB te verspreiden. Zo kan het virus zich verspreiden en de harddisk encrypten.

Volgens Talos wordt er bij de ransomware ook gebruik gemaakt van Mimikatz. Deze technologie wordt ingezet om wachtwoorden uit het geheugen te lezen en om andere systemen op het netwerk te infecteren.

Betalen met Bitcoins

Slachtoffers die geïnfecteerd worden krijgen een website te zien met een zwarte achtergrond en gekleurde letters. Zij dienen binnen 40 uur 0.05 Bitcoins te betalen (ongeveer €250 met de huidige Bitcoin-koers). Doen zij dit niet binnen 40 uur? Dan gaat de prijs omhoog.

Vooralsnog is het niet bekend wat er gebeurt met bedrijven die hebben betaald. Betalen is dus geen garantie dat je van de ransomware afkomt. De meeste security-experts adviseren dan ook om niet te betalen, omdat je daarmee het systeem van ransomware-verspreiding in stand houdt.

Wat kun je doen?

Het belangrijkste bij ransomware is natuurlijk het voorkomen ervan. We hebben eerder een blog geschreven met tips die je kunt toepassen om het risico op ransomware-aanvallen op het bedrijfsnetwerk te minimaliseren. Heeft jouw organisatie deze tips nog niet toegepast, dan is dit misschien een goed moment om ze alsnog aan te pakken.

True neemt ook maatregelen om organisaties te beschermen tegen ransomware. Hoewel de verantwoordelijkheid vaak bij de klant zelf ligt, is er een aantal technieken toe te passen om het risico op ransomware te verkleinen.

Wat True kan doen

Bij een ransomware-uitbraak zoals Bad Rabbit kijkt True zorgvuldig of er klanten mogelijk geïnfecteerd zijn. Dat lijkt niet het geval. Naast monitoring kunnen wij een aantal technieken inzetten om organisaties te beschermen. Een greep uit de technieken:

Back-ups

Denk aan managed back-ups, restore of middels VSS-recovery de aangetaste data weer herstellen. Dit zijn aanvullende diensten die onze security-experts in kunnen regelen in een digitale werkomgeving. Het hebben van een goede back-upstrategie is bij ransomware-aanvallen dan ook altijd aan te raden.

Executable-restricties

Daarnaast hebben wij per klant Software Restriction Policies ingeregeld. Dit is een beleid waarbij gebruikers niet zomaar Executables (denk aan het aanklikken van .exe-bestanden) kunnen uitvoeren. Zo kan bijvoorbeeld de malafide Flash-executable van BadRabbit tegen worden gehouden.

Antivirus & firewalls

Uiteraard zijn zaken zoals goede antivirus en firewalls van essentieel belang. Een firewall laat niet alleen het dataverkeer door op basis van de benodigde communicatiepoorten, maar analyseert ook alle dataverkeer inhoudelijk en kan, indien nodig, deze pakketten gelijk blokkeren bij een verdachte inhoud (IDS/IPS).

Meer informatie over de technische specificaties van Bad Rabbit lees je op Ars Technica.